Worm.Win32_Mytob-CC

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 52224 Octet(s)

Détails techniques:

Lorsqu'il est exécuté, Mytob-CC se copie dans le dossier système Windows sous le nom de "taskgmr.exe" et crée dans le registre les entrées suivantes :

HKCU\System\CurrentControlSet\Control\Lsa
W1NTASK
taskgmr.exe

HKCU\Software\Microsoft\OLE
W1NTASK
taskgmr.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
W1NTASK
taskgmr.exe

HKLM\System\CurrentControlSet\Control\Lsa
W1NTASK
taskgmr.exe

HKLM\Software\Microsoft\Ole
W1NTASK
taskgmr.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
W1NTASK
taskgmr.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
W1NTASK
taskgmr.exe

Mytob-CC se copie dans le dossier racine sous le nom de :
funny_pic.scr
my_photo2005.scr
see_this!!.scr

et injecte un fichier appelé "hellmsn.exe" (détecté sous le nom de Mytob-D) au même endroit. Ce composant tente de propager le ver en envoyant les fichiers SCR mentionnés ci-dessus via Windows Messenger à tous les contacts en ligne.

Pour refuser l'accès aux sites Web de sécurité correspondants, Mytob-CC ajoute aussi au fichier HOSTS les éléments suivants :
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.trendmicro.com

Mytob-CC peut se propager par courriel et à par l'intermédiaire de plusieurs failles de système d'exploitation comme LSASS (MS04-011). Le courriel envoyé par Mytob-CC possède les propriétés suivantes :

Objet :
Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
Good day

Corps du message :
Here are your banks documents.

The original message was included as an attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a
binary attachment.

The message contains Unicode characters and has been sent as a binary
attachment.

Mail transaction failed. Partial message is available.

Le fichier joint contient un nom de base suivi des extensions PIF, SCR, EXE ou ZIP. Le ver peut facultativement créer des doubles extensions avec DOC, TXT ou HTM comme première extension et PIF, SCR, EXE ou ZIP comme seconde extension.

Mytob-CC collecte les adresses électroniques présentes sur l'ordinateur infecté et dans le carnet d'adresses Windows.