Worm.Win32_Mytob-CH

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 53248 Octet(s)

Détails techniques:

Lorsqu'il est exécuté, Mytob-CH se copie dans le dossier système Windows sous le nom "iexplorer.exe" et crée dans le registre les entrées suivantes :

HKLM\SOFTWARE\Microsoft\Ole
WINTASK
iexplorer.exe

HKCU\Software\Microsoft\Ole
WINTASK
iexplorer.exe

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
WINTASK
iexplorer.exe

HKCU\SYSTEM\CurrentControlSet\Control\Lsa
WINTASK
iexplorer.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
WINTASK
iexplorer.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WINTASK
iexplorer.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
WINTASK
iexplorer.exe

Note: '%System%' est une variable de localisation. Mytob-CH détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.

Mytob-CH se copie dans le dossier racine sous le nom de :
funny_pic.scr
my_photo2005.scr
see_this!!.scr

et injecte un fichier nommé hellmsn.exe (détecté sous le nom de "Mytob-D") au même emplacement. Ce composant tente de propager le ver en envoyant, par le biais de Windows Messenger, les fichiers SCR mentionnés précédemment à tous les contacts en ligne.

Mytob-CH ajoute par ailleurs les éléments suivants au fichier HOSTS pour refuser l'accès aux sites Web de sécurité correspondants :
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.trendmicro.com

Mytob-CH est capable de se propager par courriel et par la faille du système d'exploitation LSASS
(MS04-011).

Le courriel envoyé par Mytob-CH possède les caractéristiques suivantes :

Objet (choisi parmi les suivants) :
Good day
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Texte du message (choisi parmi les suivants) :
'Mail transaction failed. Partial message is available.'
'The message contains Unicode characters and has been sent as a binary
attachment.'
'The message cannot be represented in 7-bit ASCII encoding and has been sent as
a binary attachment.'
'The original message was included as an attachment.'
'Here are your banks documents.'

Le fichier joint est constitué d'un nom d'origine suivi d'une extension BAT, CMD, PIF, SCR, EXE ou ZIP. Le ver peut aussi choisir de créer des doubles extensions avec DOC, TXT ou HTM pour première extension et PIF, SCR, EXE ou ZIP pour deuxième extension.

Mytob-CH collecte les adresses électroniques présentes dans les fichiers trouvés sur l'ordinateur infecté et dans le carnet d'adresses Windows ainsi que dans Microsoft Internet Account Manager.