Worm.Win32_Mydoom-BL

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 86637 Octet(s)

Détails techniques:

Quand il est exécuté, Mydoom-BL supprime le fichier %System%\taskmon.exe de l'ordinateur infecté. Il se copie ensuite dans le même répertoire et ajoute l'entrée de registre suivante afin d'être lancé à chaque démarrage de Windows :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon = "%System%\taskmon.exe"

N.B. : Mydoom-BL détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Lors de sa première exécution, Mydoom-BL crée le fichier %Temp%\Message. Ce dernier se remplit, avec des caractères aléatoires, et est affiché avec le bloc-note (voir capture d'écran). Après fermeture de l'éditeur de texte, le fichier est supprimé.

N.B. : Le ver détermine l'emplacement du dossier temporaire de l'utilisateur en fonction du système d'exploitation. Généralement C:\Documents and Settings\{nom_d'utilisateur}\Local Settings\Temp ou C:\WINDOWS\TEMP.

Le ver crée également un mutex nommé "SwebSipcSmtxS0" pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.

Le ver crée les entrées de registre suivantes pour vérifier si le ver a déjà été exécuté avant :

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version



Propagation

Le ver est distribué dans la pièce-jointe d'un e-mail dont voici les caractéristiques :

Sujet

Le sujet peut être vierge ou l'un des sujets suivant (majuscule ou minuscule) :

Oi a quanto tempo... =)
Eu nao ti vejo a muito tempo.
Duvido voce me reconher =)
Oi
Voce me reconhece??
Saudades de voce!!!
lembra de mim??
estou longe!!
Eu te amo


Corps du message

Il peut être vierge, rempli de caractères aléatoires ou bien comme suit :

Ola, a quanto tempo! Eu me mudei dai para os Estados Unidos, e faz um tempo que perdemos o contato e consegui seu email atraves de uma amiga sua. Vamos fazer assim, eu vou lhe mandar meu album de fotos se voce me reconhecer, me retorna o email. Quero ver se voce ainda lembra de mim. :)

Pièce-jointe

Son nom peut être l'un d'eux :

album
fotografia
fotos
album_de_foto
foto
eu
minhas_fotos

{caractères aléatoires}

Et peut avoir l'une des extensions suivantes :

pif
scr
exe
cmd
bat


Le ver peut se trouver dans un fichier ZIP portant le même nom, mais ayant l'extension .zip.

le ver récolte les adresses e-mails du carnet d'adresse d'Oulook (HKCU\Software\Microsoft\WAB\WAB4\Wab\(Default)) et d'autres fichiers ayant les extensions suivantes :

txt
htm*
php*
asp*
dbx*
tbb*
adb*
pl
wab*


le ver écite de prendre les adresses comportant les mots suivants :

root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
me
bugs
rating
site
contact
soft
no
somebody
privacy
service
help
not
submit
feste
ca
gold-certs
the.bat
page
webmaster
abuse
admin
lista


Mydoom-BL utilise son propre moteur SMTP pour envoyer les e-mails. Il effectue une requête "MX lookup", sur le serveur DNS de la machine infectée, pour trouver un serveur mail approprié à chaque domaine. Si il ne trouve pas ce serveur, il tente une requête "DNS lookup" en utilisant les préfixes suivants :

mx.
mail.
smtp.
mx1.
mxs.
mail1.
relay.
ns.
gate.


Pour se répandre, Mydoom-BL utilise aussi le réseau de peer-to-peer Kazaa. Si ce logiciel est installé sur l'ordinateur infecté, le ver trouve le dossier partagé par Kazaa à cette entrée de registre :

HKCU\Software\Kazaa\Transfer\DlDir0

Si ce répertoire est trouvé, le ver se copie dedans sous l'un des noms suivants :

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004


Avec l'une des extensions suivantes :

exe
scr
pif
bat


Capture(s) d'écran:

Mydoom-BL



http://www.securiteinfo.com/