Worm.Win32_Mytob-BT

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Lorsqu'il est exécuté, Mytob-BT se copie dans le répertoire %System% sous le nom de "taskgmrs.exe" et crée dans le registre les entrées suivantes :

HKCU\System\CurrentControlSet\Control\Lsa
WINDRUN
taskgmrs.exe

HKCU\Software\Microsoft\OLE
WINDRUN
taskgmrs.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
WINDRUN
taskgmrs.exe

HKLM\System\CurrentControlSet\Control\Lsa
WINDRUN
taskgmrs.exe

HKLM\Software\Microsoft\Ole
WINDRUN
taskgmrs.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WINDRUN
taskgmrs.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
WINDRUN
taskgmrs.exe


Mytob-BT se copie dans le dossier racine sous les noms :
funny_pic.scr
my_photo2005.scr
see_this!!.scr


et injecte un fichier nommé "hellmsn.exe" (détecté sous le nom de "Mytob-D") au même emplacement. Ce composant tente de propager le ver en transmettant les fichiers SCR mentionnés ci-dessus par le biais de Windows Messenger à tous les contacts en ligne.

Pour empêcher l'accès à des sites Web de sécurité, Mytob-BT ajoute aussi au fichier HOSTS les réorientations suivantes :

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.trendmicro.com


Mytob-BT a la faculté de se propager par courriel et par le biais de nombreuses failles de sécurité des systèmes d'exploitation telle que la faille LSASS (MS04-011).

Le courriel envoyé par Mytob-BT possède les propriétés suivantes :


Objet :
document
Good day
Hello
Mail Delivery System
Mail Transaction Failed
message
readme
Server Report
Status



Corps du message :
'This is a multi-part message in MIME format.'

'Mail transaction failed. Partial message is available.'

'The message contains Unicode characters and has been sent as a binary
attachment.'

'The message cannot be represented in 7-bit ASCII encoding and has been sent as
a binary attachment.'

'The original message was included as an attachment.'

'Here are your banks documents.'


Le fichier joint est composé d'un nom de base suivi d'extentions PIF, SCR, EXE ou ZIP. Le ver peut aussi choisir de créer des doubles extensions avec DOC, TXT ou HTM pour première extension et PIF, SCR, EXE ou ZIP pour deuxième extension.

Mytob-BT collecte les adresses électroniques présentes dans les fichiers trouvés sur l'ordinateur infecté et dans le carnet d'adresses Windows. Le ver évite d'envoyer des courriels aux adresses contenant les chaînes suivantes :
.gov
.mil
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
google
gov.
help
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
linux
listserv
math
me
mit.e
mozilla
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the.bat
unix
unix
usenet
utgers.ed
webmaster
you
your





NEWSNOW