Worm.Win32_Mytob-DX

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Mytob-DX s'exécute en permanence en tâche de fond fournissant un serveur de porte dérobée qui permet à l'intrus distant de prendre l'accès et le contrôle de l'ordinateur par le biais des canaux IRC.

Lorsqu'il est exécuté, Mytob-DX se copie dans le dossier système Windows sous le nom de taskgmr32.exe et winnet32.exe et crée les entrées de registre suivantes :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
WINTASK32
"taskgmr32.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WINTASK32
"taskgmr32.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
WINTASK32
"taskgmr32.exe"

HKCU\SYSTEM\CurrentControlSet\Control\Lsa
WINTASK32
"taskgmr32.exe"

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
WINTASK32
"taskgmr32.exe"

HKCU\Software\Microsoft\OLE
WINTASK32
"taskgmr32.exe"

HKLM\SOFTWARE\Microsoft\Ole
WINTASK32
"taskgmr32.exe"


Mytob-DX se copie dans le dossier racine sous le nom de :
funny_pic.scr
my_photo2005.scr
see_this!!.scr

et y injecte un fichier nommé hellmsn.exe (détecté sous le nom de Mytob-D) au même emplacement. Le composant tente de propager le ver en envoyant des fichiers par le biais de Windows Messenger à tous les contacts en ligne.

Mytob-DX inclut aussi des fonctionnalités de téléchargement silencieux et d'installation et d'exécution de nouveaux logiciels.

Mytob-DX modifie le fichier HOSTS, changeant les réorientations URL en IP des sites web correspondants, empêchant ainsi l'accès normal à ces sites. Le nouveau fichier HOSTS contient généralement les adresses suivantes :

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.trendmicro.com

Mytob-DX se propage par courriel.

Le courriel envoyé par Mytob-DX a les propriétés suivantes :

Objet :
Good day
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Texte du message :
'Mail transaction failed. Partial message is available.'
'The message contains Unicode characters and has been sent as a binary
attachment.
'The message cannot be represented in 7-bit ASCII encoding and has been sent as
a binary attachment.'
'The original message was included as an attachment.'
'Here are your banks documents.'
{caractères aléatoires}

Le fichier joint contient un nom de base suivi des extensions PIF, SCR, EXE ou ZIP. Le ver peut facultativement créer des doubles extensions où la première extension est DOC, TXT ou HTM et la seconde est PIF, SCR, EXE ou ZIP.

Mytob-DX collecte des adresses électroniques dans des fichiers présents sur l'ordinateur infecté et dans le carnet d'adresses Windows.