Worm.Win32_Mytob-CU
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Lorsqu'il est exécuté, Mytob-CU se copie dans le dossier %System% Windows sous le nom de "xxx.exe" et crée dans le registre les entrées suivantes :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WINDOWS SYSTEM
"xxx.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
WINDOWS SYSTEM
"xxx.exe"
Note: '%System%' est une variable de localisation. Mytob-CU détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.
Pour refuser l'accès aux sites Web de sécurité correspondants, Mytob-CU ajoute aussi au fichier HOSTS les éléments suivants :
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.trendmicro.com
Mytob-CU peut se propager par courriel et à travers plusieurs failles de système d'exploitation comme LSASS (MS04-011).
Le courriel envoyé par Mytob-CU possède les caractéristiques suivantes :
Objet :
Notice: **Last Warning**
*DETECTED* Online User Violation
Your Email Account is Suspended For Security Reasons
Account Alert
Important Notification
*WARNING* Your Email Account Will Be Closed
Security measures
Email Account Suspension
Notice of account limitation
Corps du message :
Once you have completed the form in the attached file , your account records
will not be interrupted and will continue as normal.
The original message has been included as an attachment.
We regret to inform you that your account has been suspended due to the
violation of our site policy, more info is attached.
We attached some important information regarding your account.
Please read the attached document and follow it's instructions.
Le fichier joint contient un nom de base suivi des extensions PIF, SCR, EXE ou ZIP. Le ver peut facultativement créer des doubles extensions avec DOC, TXT ou HTM comme première extension et PIF, SCR, EXE ou ZIP comme seconde extension.
Les noms de fichiers sont choisis aléatoirement parmi les suivants :
email-info
email-doc
information
account-details
document
instructions
info-texg
information
Mytob-CU collecte des adresses électroniques dans des fichiers présents sur l'ordinateur infecté et dans le carnet d'adresses Windows.
Le ver évite d'envoyer des courriels aux adresses contenant les chaînes suivantes :
michael
george
andrew
robert
brenda
claudia
icrosof
hotmail
borlan
inpris
example
mydomai
nodomai
ruslis
berkeley
ibm.com
google
kernel
usenet
rfc-ed
sendmail
acketst
tanford.e
utgers.ed
mozilla
be_loyal:
samples
postmaster
webmaster
nobody
nothing
anyone
someone
rating
contact
somebody
privacy
service
submit
gold-certs
the.bat
icrosoft
support
listserv
certific
google
accoun
administrator
service
register
Taille: Inconnue
Détails techniques:
Lorsqu'il est exécuté, Mytob-CU se copie dans le dossier %System% Windows sous le nom de "xxx.exe" et crée dans le registre les entrées suivantes :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WINDOWS SYSTEM
"xxx.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
WINDOWS SYSTEM
"xxx.exe"
Note: '%System%' est une variable de localisation. Mytob-CU détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.
Pour refuser l'accès aux sites Web de sécurité correspondants, Mytob-CU ajoute aussi au fichier HOSTS les éléments suivants :
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.trendmicro.com
Mytob-CU peut se propager par courriel et à travers plusieurs failles de système d'exploitation comme LSASS (MS04-011).
Le courriel envoyé par Mytob-CU possède les caractéristiques suivantes :
Objet :
Notice: **Last Warning**
*DETECTED* Online User Violation
Your Email Account is Suspended For Security Reasons
Account Alert
Important Notification
*WARNING* Your Email Account Will Be Closed
Security measures
Email Account Suspension
Notice of account limitation
Corps du message :
Once you have completed the form in the attached file , your account records
will not be interrupted and will continue as normal.
The original message has been included as an attachment.
We regret to inform you that your account has been suspended due to the
violation of our site policy, more info is attached.
We attached some important information regarding your account.
Please read the attached document and follow it's instructions.
Le fichier joint contient un nom de base suivi des extensions PIF, SCR, EXE ou ZIP. Le ver peut facultativement créer des doubles extensions avec DOC, TXT ou HTM comme première extension et PIF, SCR, EXE ou ZIP comme seconde extension.
Les noms de fichiers sont choisis aléatoirement parmi les suivants :
email-info
email-doc
information
account-details
document
instructions
info-texg
information
Mytob-CU collecte des adresses électroniques dans des fichiers présents sur l'ordinateur infecté et dans le carnet d'adresses Windows.
Le ver évite d'envoyer des courriels aux adresses contenant les chaînes suivantes :
michael
george
andrew
robert
brenda
claudia
icrosof
hotmail
borlan
inpris
example
mydomai
nodomai
ruslis
berkeley
ibm.com
kernel
usenet
rfc-ed
sendmail
acketst
tanford.e
utgers.ed
mozilla
be_loyal:
samples
postmaster
webmaster
nobody
nothing
anyone
someone
rating
contact
somebody
privacy
service
submit
gold-certs
the.bat
icrosoft
support
listserv
certific
accoun
administrator
service
register
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
