Worm.Win32_Mytob-E

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 155648 Octet(s)

Détails techniques:

Quand le ver est exécuté, il dépose les fichiers suivants :

%System%\taskgmr.exe
%System%\bingoo.exe
C:\funny_pic.scr
C:\see_this!!.scr
C:\my_photo2005.scr

N.B. : Mytob-E détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Puis il crée le fichier C:\hellmsn.exe et ajoute la valeur "WINRUN" = "taskgmr.exe" aux clefs de registre suivantes afin de se lancer à chaque démarrage de Windows :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\OLE
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

N.B. : Mytob-E recrée ces valeurs si elles sont supprimées.

Le ver crée également un mutex nommé "H-E-L-L-B-O-T" pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.

Le ver collecte les adresses e-mails du carnet d'adresse d'Outlook et des fichiers portant les extensions suivantes :

adb*
.asp*
.dbx*
.htm*
.php*
.pl
.sht*
.tbb*
.txt
.wab*

Le ver évite d'envoyer des e-mails aux adresses contenant les mots suivants :

abuse
accoun
acketst
admin
anyone
arin.
avp
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
help
info
linux
listservme
no
nobody
noone
not
nothing
ntivi
page
postmaster
privacy
rating
root
samples
service
site
soft
somebody
someone
submit
support
the.bat
unix
webmaster
you
your

Le ver n'envoie pas d'e-mails aux adresses ayant pour domaine :

.edu
.gov
.mil
arin.
berkeley
borlan
bsd
example
fido
foo.
fsf.
gnu
google
gov.
iana
ibm.com
icrosof
icrosoft
ietf
inpris
isc.o
isi.e
kernel
linux
math
mit.e
mozilla
mydomai
nodomai
panda
pgp
rfc-ed
ripe.
ruslis
secur
sendmail
sopho
syma
tanford.e
unix
usenet
utgers.ed
www

Pour trouver des serveurs SMTP, le ver peut ajouter les préfixes suivants aux noms de domaine :

gate.
mail.
mail1.
mx.
mx1.
mxs.
ns.
relay.
smtp

Mytob-E utilise son propre moteur SMTP pour envoyer ses e-mails aux adresses trouvées sur la machine infectée. Voici les caractéristique de l'e-mail :

L'adresse de l'expéditeur portera l'un des noms suivants :

adam
alex
andrew
anna
bill
bob
brenda
brent
brian
britney
bush
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
lolita
madmax
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom

Suivi de l'un des domaines suivants :

aol.com
cia.gov
fbi.gov
hotmail.com
juno.com
msn.com
yahoo.com

Objet :

hello
Good Day
Error
Mail Delivery System
Mail Transaction Failed
Server Report
Status
{vierge}
{caractères aléatoires}

Corps du message

- {caractères aléatoires}
- Mail transaction failed. Partial message is available.
- The message contains Unicode characters and has been sent as a binary attachment.
- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
- The original message was included as an attachment.
- Here are your banks documents

Pièce-jointe

Elle porte l'un des noms suivants :

body
data
doc
document
file
message
readme
test
text
{nom aléatoire}

Avec l'une des extensions suivantes :

.pif
.scr
.exe
.bat
.cmd


Mytob-E contient un composant agissant comme une porte dérobée sur le port 10087. Le ver se connecte sur le serveur "snuiven.kicks-ass.net" en attente de commande. Un utilisateur malveillant pourra :

- Télécharger et exécuter des fichiers sur l'ordinateur infecté
- Exécuter d'autres commandes IRC
- Redémarrer l'ordinateur de la victime


Mytob-E peut également se répandre via une faille liée au composant LSASS de Microsoft Windows. Les informations concernant cette faille sont disponibles sur http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx.

Mytob-E redirige l'accès de l'utilisateur vers certains sites, vers le localhost (la machine locale, adresse 127.0.0.1) en modifiant le fichier HOSTS comme suit :

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.trendmicro.com