Worm.Win32_Mytob-CK

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Lorsqu'il est exécuté, Mytob-CK se copie dans le dossier %SYSTEM% de Windows sous le nom "taskgmr.exe" et crée dans le registre les entrées suivantes :

HKLM\SOFTWARE\Microsoft\Ole
WINTASK
taskgmr.exe

HKCU\Software\Microsoft\Ole
WINTASK
taskgmr.exe

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
WINTASK
taskgmr.exe

HKCU\SYSTEM\CurrentControlSet\Control\Lsa
WINTASK
taskgmr.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
WINTASK
taskgmr.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WINTASK
taskgmr.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
WINTASK
taskgmr.exe


Mytob-CK injecte un fichier nommé "hellmsn.exe" au même emplacement. Ce composant tente de propager le ver en envoyant les fichiers SCR mentionnés ci-dessus à tous les contacts en ligne de Windows Messenger.

Mytob-CK ajoute par ailleurs les éléments suivants au fichier HOSTS pour refuser l'accès aux sites Web de sécurité correspondants :
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.trendmicro.com


Mytob-CK est capable de se propager par courriel et par le biais de nombreuses failles du système d'exploitation telle que la faille LSASS (MS04-011).

Le courriel envoyé par Mytob-CK a les propriétés suivantes :

Objet :
Good day
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
{caractères aléatoires}


Texte du message :
'Here are your banks documents.'
'The original message was included as an attachment.'
'The message cannot be represented in 7-bit ASCII encoding and has been sent as
a binary attachment.'
'The message contains Unicode characters and has been sent as a binary
attachment.'
'Mail transaction failed. Partial message is available.'
{caractères aléatoires}


Le fichier joint est constitué de l'un des noms de base mentionnés ci-dessus suivi des extensions PIF, SCR, EXE ou ZIP. Le ver peut optionnellement créer des doubles extensions où la première extension est DOC, TXT ou HTM et la seconde est PIF, SCR, EXE ou ZIP.

Mytob-CK collecte des adresses électroniques relatives à l'ordinateur infecté depuis le carnet d'adresses Windows et dans le Gestionnaire de comptes Microsoft Internet.




http://www.zebulon.fr/