Worm.Win32_Mytob-BZ

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Lorsqu'il est exécuté, Mytob-BZ se copie dans le dossier système Windows sous le nom de "taskgmr.exe" et crée dans le registre les entrées suivantes :

HKCU\System\CurrentControlSet\Control\Lsa
W1NTASK
taskgmr.exe

HKCU\Software\Microsoft\OLE
W1NTASK
taskgmr.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
W1NTASK
taskgmr.exe

HKLM\System\CurrentControlSet\Control\Lsa
W1NTASK
taskgmr.exe

HKLM\Software\Microsoft\Ole
W1NTASK
taskgmr.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
W1NTASK
taskgmr.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
W1NTASK
taskgmr.exe

Mytob-BZ se copie dans le dossier racine sous le nom de :
funny_pic.scr
my_photo2005.scr
see_this!!.scr

et injecte un fichier appelé "hellmsn.exe" (détecté sous le nom de Mytob-D) au même endroit. Ce composant tente de propager le ver en envoyant les fichiers SCR mentionnés ci-dessus via Windows Messenger à tous les contacts en ligne.

Pour refuser l'accès aux sites Web de sécurité correspondants, Mytob-BZ ajoute aussi au fichier HOSTS les éléments suivants :
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.trendmicro.com

Mytob-BZ peut se propager par courriel et à par l'intermédiaire de plusieurs failles de système d'exploitation comme LSASS (MS04-011). Le courriel envoyé par Mytob-BZ possède les propriétés suivantes :

Objet :
document
Good day
Mail Delivery System
Mail Transaction Failed
message
readme
Server Report
Status


Corps du message :
'This is a multi-part message in MIME format.'

'Mail transaction failed. Partial message is available.'

'The message contains Unicode characters and has been sent as a binary
attachment.'

'The message cannot be represented in 7-bit ASCII encoding and has been sent as
a binary attachment.'

'The original message was included as an attachment.'

'Here are your banks documents.'

Le fichier joint contient un nom de base suivi des extensions PIF, SCR, EXE ou ZIP. Le ver peut facultativement créer des doubles extensions avec DOC, TXT ou HTM comme première extension et PIF, SCR, EXE ou ZIP comme seconde extension.

Mytob-BZ collecte les adresses électroniques présentes sur l'ordinateur infecté et dans le carnet d'adresses Windows. Le ver évite d'envoyer des courriels aux adresses qui contiennent les éléments suivants :
.gov
.mil
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
google
gov.
help
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
linux
listserv
math
me
mit.e
mozilla
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the.bat
unix
unix
usenet
utgers.ed
webmaster
you
your