Worm.Win32_Mytob-BI
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Mytob-BI s'exécute en permanence en tâche de fond et fournit un serveur de porte dérobée permettant à un intrus distant de prendre l'accès et le contrôle de l'ordinateur via les canaux IRC.
Lorsqu'il est exécuté,Mytob-BI se copie dans le dossier système Windows sous le nom de winsys33.exe et crée les entrées de registre suivantes :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
WINDOWS SYSTEM
winsys33.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WINDOWS SYSTEM
winsys33.exe
Mytob-BI désactive aussi le pare-feu Windows XP en changeant l'entrée de registre suivante de :
HKLM\System\CurrentControlSet\Services\SharedAccess
Start
3
en :
HKLM\System\CurrentControlSet\Services\SharedAccess
Start
4
Mytob-BI contient aussi des fonctionnalités pour télécharger, installer et exécuter de manière silencieux des nouveaux logiciels.
Des modifications sont apportées au registre sous l'entrée de registre suivante :
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\Current
Level
Mytob-BI modifie le fichier HOSTS, changeant les orientations URL vers IP pour les sites Web sélectionnés, empêchant ainsi l'accès normal à ces sites. Le nouveau fichier HOSTS contient généralement les éléments suivants :
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com
Mytob-BI peut se propager par courriel.
Le courriel envoyé par Mytob-BI possède les propriétés suivantes :
Objets :
Your Account is Suspended
*DETECTED* Online User Violation
Your Account is Suspended For Security Reasons
Warning Message: Your services near to be closed.
Important Notification
Members Support
Security measures
Email Account Suspension
Notice of account limitation
Corps du message :
'Dear {nom entreprise} Member,
We have temporarily suspended your email account {Email address}.
This might be due to either of the following reasons:
1. A recent change in your personal information (i.e. change of address).
2. Submiting invalid information during the initial sign up process.
3. An innability to accurately verify your selected option of subscription due
to an internal error within our processors.
See the details to reactivate your {company name} account.
Sincerely,The {nom entreprise} Support Team
+++ Attachment: No Virus (Clean)
+++ {nom entreprise} Antivirus - {adresse Internet}'
'Dear {nom entreprise} Member,
Your e-mail account was used to send a huge amount of unsolicited spam messages
during the recent week. If you could please take 5-10 minutes out of your online
experience and confirm the attached document so you will not run into any
future problems with the online service.
If you choose to ignore our request, you leave us no choice but to cancel your
membership.
Virtually yours,
The {nom entreprise} Support Team
+++ Attachment: No Virus found
+++ {nom entreprise} Antivirus - {adresse Internet}'
'Dear user {nomutilisateur},
You have successfully updated the password of your {nom entreprise} account.
If you did not authorize this change or if you need assistance with your
account, please contact {nom entreprise} customer service at: {adresse électronique}
Thank you for using {nom entreprise}!The {nom entreprise} Support Team
+++ Attachment: No Virus (Clean)
+++ {nom entreprise} Antivirus - {adresse Internet}'
'Dear user {nomutilisateur},
It has come to our attention that your {nom entreprise} User Profile ( x )
records are out of date. For further details see the attached document.
Thank you for using {nom entreprise}!
The {nom entreprise} Support Team
+++ Attachment: No Virus (Clean)
+++ {nom entreprise} Antivirus - {adresse Internet}'
Le fichier joint comporte un nom de base suivi de l'extension ZIP :
important-details
account-details
email-details
account-info
document
readme
account-report
updated-password
email-password
new-password
password
approved-password
account-password
accepted-password
{caractères aléatoires}
Le ver peut facultativement créer des doubles extensions où la première extension est DOC, TXT ou HTM et la seconde est PIF, SCR, EXE ou ZIP.
Mytob-BI collecte des adresses électroniques dans des fichiers présents sur l'ordinateur infecté et dans le carnet d'adresses Windows.
Taille: Inconnue
Détails techniques:
Mytob-BI s'exécute en permanence en tâche de fond et fournit un serveur de porte dérobée permettant à un intrus distant de prendre l'accès et le contrôle de l'ordinateur via les canaux IRC.
Lorsqu'il est exécuté,Mytob-BI se copie dans le dossier système Windows sous le nom de winsys33.exe et crée les entrées de registre suivantes :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
WINDOWS SYSTEM
winsys33.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WINDOWS SYSTEM
winsys33.exe
Mytob-BI désactive aussi le pare-feu Windows XP en changeant l'entrée de registre suivante de :
HKLM\System\CurrentControlSet\Services\SharedAccess
Start
3
en :
HKLM\System\CurrentControlSet\Services\SharedAccess
Start
4
Mytob-BI contient aussi des fonctionnalités pour télécharger, installer et exécuter de manière silencieux des nouveaux logiciels.
Des modifications sont apportées au registre sous l'entrée de registre suivante :
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\Current
Level
Mytob-BI modifie le fichier HOSTS, changeant les orientations URL vers IP pour les sites Web sélectionnés, empêchant ainsi l'accès normal à ces sites. Le nouveau fichier HOSTS contient généralement les éléments suivants :
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com
Mytob-BI peut se propager par courriel.
Le courriel envoyé par Mytob-BI possède les propriétés suivantes :
Objets :
Your Account is Suspended
*DETECTED* Online User Violation
Your Account is Suspended For Security Reasons
Warning Message: Your services near to be closed.
Important Notification
Members Support
Security measures
Email Account Suspension
Notice of account limitation
Corps du message :
'Dear {nom entreprise} Member,
We have temporarily suspended your email account {Email address}.
This might be due to either of the following reasons:
1. A recent change in your personal information (i.e. change of address).
2. Submiting invalid information during the initial sign up process.
3. An innability to accurately verify your selected option of subscription due
to an internal error within our processors.
See the details to reactivate your {company name} account.
Sincerely,The {nom entreprise} Support Team
+++ Attachment: No Virus (Clean)
+++ {nom entreprise} Antivirus - {adresse Internet}'
'Dear {nom entreprise} Member,
Your e-mail account was used to send a huge amount of unsolicited spam messages
during the recent week. If you could please take 5-10 minutes out of your online
experience and confirm the attached document so you will not run into any
future problems with the online service.
If you choose to ignore our request, you leave us no choice but to cancel your
membership.
Virtually yours,
The {nom entreprise} Support Team
+++ Attachment: No Virus found
+++ {nom entreprise} Antivirus - {adresse Internet}'
'Dear user {nomutilisateur},
You have successfully updated the password of your {nom entreprise} account.
If you did not authorize this change or if you need assistance with your
account, please contact {nom entreprise} customer service at: {adresse électronique}
Thank you for using {nom entreprise}!The {nom entreprise} Support Team
+++ Attachment: No Virus (Clean)
+++ {nom entreprise} Antivirus - {adresse Internet}'
'Dear user {nomutilisateur},
It has come to our attention that your {nom entreprise} User Profile ( x )
records are out of date. For further details see the attached document.
Thank you for using {nom entreprise}!
The {nom entreprise} Support Team
+++ Attachment: No Virus (Clean)
+++ {nom entreprise} Antivirus - {adresse Internet}'
Le fichier joint comporte un nom de base suivi de l'extension ZIP :
important-details
account-details
email-details
account-info
document
readme
account-report
updated-password
email-password
new-password
password
approved-password
account-password
accepted-password
{caractères aléatoires}
Le ver peut facultativement créer des doubles extensions où la première extension est DOC, TXT ou HTM et la seconde est PIF, SCR, EXE ou ZIP.
Mytob-BI collecte des adresses électroniques dans des fichiers présents sur l'ordinateur infecté et dans le carnet d'adresses Windows.
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
