Cette section destinée aux experts, expose les détails techniques de ce virus.Taille: 86637 Octet(s)
Détails techniques: Quand il est exécuté, Mydoom-BL supprime le fichier
%System%\taskmon.exe de l'ordinateur infecté. Il se copie ensuite dans le même répertoire et ajoute l'entrée de registre suivante afin d'être lancé à chaque démarrage de Windows :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon = "%System%\taskmon.exe"
N.B. : Mydoom-BL détermine l'emplacement du répertoire
%System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de
C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de
C:\Windows\System et sous XP :
C:\Windows\System32.
Lors de sa première exécution, Mydoom-BL crée le fichier
%Temp%\Message. Ce dernier se remplit, avec des caractères aléatoires, et est affiché avec le bloc-note (voir capture d'écran). Après fermeture de l'éditeur de texte, le fichier est supprimé.
N.B. : Le ver détermine l'emplacement du dossier temporaire de l'utilisateur en fonction du système d'exploitation. Généralement
C:\Documents and Settings\{nom_d'utilisateur}
\Local Settings\Temp ou
C:\WINDOWS\TEMP.
Le ver crée également un mutex nommé "
SwebSipcSmtxS0" pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.
Le ver crée les entrées de registre suivantes pour vérifier si le ver a déjà été exécuté avant :
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
Propagation
Le ver est distribué dans la pièce-jointe d'un e-mail dont voici les caractéristiques :
Sujet
Le sujet peut être vierge ou l'un des sujets suivant (majuscule ou minuscule) :
Oi a quanto tempo... =)
Eu nao ti vejo a muito tempo.
Duvido voce me reconher =)
Oi
Voce me reconhece??
Saudades de voce!!!
lembra de mim??
estou longe!!
Eu te amo
Corps du message
Il peut être vierge, rempli de caractères aléatoires ou bien comme suit :
Ola, a quanto tempo! Eu me mudei dai para os Estados Unidos, e faz um tempo que perdemos o contato e consegui seu email atraves de uma amiga sua. Vamos fazer assim, eu vou lhe mandar meu album de fotos se voce me reconhecer, me retorna o email. Quero ver se voce ainda lembra de mim. :)
Pièce-jointe
Son nom peut être l'un d'eux :
album
fotografia
fotos
album_de_foto
foto
eu
minhas_fotos
{caractères aléatoires}
Et peut avoir l'une des extensions suivantes :
pif
scr
exe
cmd
bat
Le ver peut se trouver dans un fichier ZIP portant le même nom, mais ayant l'extension
.zip.
le ver récolte les adresses e-mails du carnet d'adresse d'Oulook (
HKCU\Software\Microsoft\WAB\WAB4\Wab\(Default)) et d'autres fichiers ayant les extensions suivantes :
txt
htm*
php*
asp*
dbx*
tbb*
adb*
pl
wab*
le ver écite de prendre les adresses comportant les mots suivants :
root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
me
bugs
rating
site
contact
soft
no
somebody
privacy
service
help
not
submit
feste
ca
gold-certs
the.bat
page
webmaster
abuse
admin
lista
Mydoom-BL utilise son propre moteur SMTP pour envoyer les e-mails. Il effectue une requête "MX lookup", sur le serveur DNS de la machine infectée, pour trouver un serveur mail approprié à chaque domaine. Si il ne trouve pas ce serveur, il tente une requête "DNS lookup" en utilisant les préfixes suivants :
mx.
mail.
smtp.
mx1.
mxs.
mail1.
relay.
ns.
gate.
Pour se répandre, Mydoom-BL utilise aussi le réseau de peer-to-peer Kazaa. Si ce logiciel est installé sur l'ordinateur infecté, le ver trouve le dossier partagé par Kazaa à cette entrée de registre :
HKCU\Software\Kazaa\Transfer\DlDir0
Si ce répertoire est trouvé, le ver se copie dedans sous l'un des noms suivants :
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
Avec l'une des extensions suivantes :
exe
scr
pif
batCapture(s) d'écran: