Worm.Win32_Mytob-BI

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Mytob-BI s'exécute en permanence en tâche de fond et fournit un serveur de porte dérobée permettant à un intrus distant de prendre l'accès et le contrôle de l'ordinateur via les canaux IRC.

Lorsqu'il est exécuté,Mytob-BI se copie dans le dossier système Windows sous le nom de winsys33.exe et crée les entrées de registre suivantes :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
WINDOWS SYSTEM
winsys33.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WINDOWS SYSTEM
winsys33.exe


Mytob-BI désactive aussi le pare-feu Windows XP en changeant l'entrée de registre suivante de :

HKLM\System\CurrentControlSet\Services\SharedAccess
Start
3


en :

HKLM\System\CurrentControlSet\Services\SharedAccess
Start
4


Mytob-BI contient aussi des fonctionnalités pour télécharger, installer et exécuter de manière silencieux des nouveaux logiciels.

Des modifications sont apportées au registre sous l'entrée de registre suivante :

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\Current
Level


Mytob-BI modifie le fichier HOSTS, changeant les orientations URL vers IP pour les sites Web sélectionnés, empêchant ainsi l'accès normal à ces sites. Le nouveau fichier HOSTS contient généralement les éléments suivants :

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com


Mytob-BI peut se propager par courriel.

Le courriel envoyé par Mytob-BI possède les propriétés suivantes :

Objets :
Your Account is Suspended
*DETECTED* Online User Violation
Your Account is Suspended For Security Reasons
Warning Message: Your services near to be closed.
Important Notification
Members Support
Security measures
Email Account Suspension
Notice of account limitation


Corps du message :
'Dear {nom entreprise} Member,

We have temporarily suspended your email account {Email address}.

This might be due to either of the following reasons:

1. A recent change in your personal information (i.e. change of address).
2. Submiting invalid information during the initial sign up process.
3. An innability to accurately verify your selected option of subscription due
to an internal error within our processors.
See the details to reactivate your {company name} account.

Sincerely,The {nom entreprise} Support Team


+++ Attachment: No Virus (Clean)
+++ {nom entreprise} Antivirus - {adresse Internet}'

'Dear {nom entreprise} Member,

Your e-mail account was used to send a huge amount of unsolicited spam messages
during the recent week. If you could please take 5-10 minutes out of your online
experience and confirm the attached document so you will not run into any
future problems with the online service.

If you choose to ignore our request, you leave us no choice but to cancel your
membership.

Virtually yours,
The {nom entreprise} Support Team

+++ Attachment: No Virus found
+++ {nom entreprise} Antivirus - {adresse Internet}'

'Dear user {nomutilisateur},

You have successfully updated the password of your {nom entreprise} account.

If you did not authorize this change or if you need assistance with your
account, please contact {nom entreprise} customer service at: {adresse électronique}

Thank you for using {nom entreprise}!The {nom entreprise} Support Team

+++ Attachment: No Virus (Clean)
+++ {nom entreprise} Antivirus - {adresse Internet}'

'Dear user {nomutilisateur},

It has come to our attention that your {nom entreprise} User Profile ( x )
records are out of date. For further details see the attached document.

Thank you for using {nom entreprise}!
The {nom entreprise} Support Team

+++ Attachment: No Virus (Clean)
+++ {nom entreprise} Antivirus - {adresse Internet}'


Le fichier joint comporte un nom de base suivi de l'extension ZIP :
important-details
account-details
email-details
account-info
document
readme
account-report
updated-password
email-password
new-password
password
approved-password
account-password
accepted-password
{caractères aléatoires}


Le ver peut facultativement créer des doubles extensions où la première extension est DOC, TXT ou HTM et la seconde est PIF, SCR, EXE ou ZIP.

Mytob-BI collecte des adresses électroniques dans des fichiers présents sur l'ordinateur infecté et dans le carnet d'adresses Windows.




http://www.zebulon.fr/