Antivirus and Security Software from Sophos

W32/MyDoom-B

Alias
  • W32/Mydoom.b@MM
  • I-Worm.Mydoom.b
Catégorie
Type
Action à mener
Prévalence faible Forte

Récapitulatif

 
Protection disponible depuis 28 janvier 2004 19:34:20 (GMT)
Dernière mise à jour 30 janvier 2004 15:41:21 (GMT)
Détecté par Tous les produits Sophos
Download Détection des virus gratuite
Test de détection des menaces
  • Détection gratuite des virus et spywares
  • Vérification de votre protection antivirus actuelle
  • Votre antivirus est-il vraiment efficace ?

Action

Plus d'informations

W32/MyDoom-B est un ver qui se propage par e-mail. Lorsque la pièce jointe est lancée, le ver recueille les adresses e-mail des carnets d'adresses et des fichiers avec les extensions suivantes : WAB, TXT, HTM, SHT, PHP, ASP, DBX, TBB, ADB et PL.

W32/MyDoom-B crée un fichier appelé Message dans le dossier temporaire et exécute le Bloc-Notes pour afficher le contenu, qui affiche les caractères aléatoires.

W32/MyDoom-B utilise des adresses e-mail choisies aléatoirement dans les champs ""To:" et "From:" ainsi qu'un objet choisi également aléatoirement. Les e-mails distribuant ce ver ont les caractéristiques suivantes :

Objets Mail Transaction Failed Unable to deliver the message Status Delivery Error Mail Delivery System hello hi Error Server Report Returned mail [série de caractères aléatoire]

Corps de messages The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received. The message contains Unicode characters and has been sent as a binary attachment. The message contains MIME-encoded graphics and has been sent as a binary attachment. Mail transaction failed. Partial message is available.

Noms de fichiers des pièces jointes body text document data file readme message doc [série de caractères aléatoire]

Les fichiers joints peuvent avoir une ou deux extensions. La première extension peut être DOC, TXT ou HTM et la deuxième BAT, CMD, EXE, PIF, SCR ou ZIP.

Le ver peut aussi se copier dans le dossier partagé de l'application peer-to-peer KaZaA avec l'un des noms de fichiers suivants et une extension PIF, EXE, SCR ou BAT :

NessusScan_pro attackXP-1.26 winamp5 MS04-01_hotfix zapSetup_40_148 BlackIce_Firewall_Enterpriseactivation_crack xsharez_scanner icq2004-final

W32/MyDoom-B crée un fichier appelé explorer.exe dans le dossier système et ajoute dans le registre l'entrée suivante pour exécuter ce fichier à chaque démarrage de Windows :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ = <system folder>\explorer.exe

Sachez que dans le dossier Windows, un fichier légitime appelé explorer.exe est présent.

W32/MyDoom-B injecte par ailleurs un fichier nommé ctfmon.dll dans le dossier système. Il s'agit d'un programme de porte dérobée chargé par le ver qui permet aux personnes externes de se connecter au port TCP 1080. De manière à être exécuté au démarrage, le fichier DLL ajoute dans le registre l'entrée suivante :

HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 Default= "<emplacement de la dll>"

Entre le 1er février et le 1er mars 2004, il y a 20 % de chances pour que le ver tente une attaque par déni de service contre www.sco.com, en envoyant de nombreuses requêtes GET au serveur web. Entre le 3 février et le 1er mars 2004, il y a 30 % de chances pour que le ver tente la même attaque par déni de service contre www.microsoft.com.

Après le 1er mars, W32/MyDoom-B ne se propagera plus, à cause d'une date d'expiration définie dans le code. Par contre, il exécutera toujours le composant de porte dérobée.

W32/MyDoom-B créera aussi un fichier nommé hosts dans le dossier Windows afin de rendre l'ordinateur incapable de contacter les sites web suivants :

engine.awaps.net awaps.net www.awaps.net ad.doubleclick.net spd.atdmt.com atdmt.com click.atdmt.com clicks.atdmt.com media.fastclick.net fastclick.net www.fastclick.net ad.fastclick.net ads.fastclick.net banner.fastclick.net banners.fastclick.net www.sophos.com sophos.com ftp.sophos.com f-secure.com www.f-secure.com ftp.f-secure.com securityresponse.symantec.com www.symantec.com symantec.com service1.symantec.com liveupdate.symantec.com update.symantec.com updates.symantec.com support.microsoft.com downloads.microsoft.com download.microsoft.com windowsupdate.microsoft.com office.microsoft.com msdn.microsoft.com go.microsoft.com nai.com www.nai.com vil.nai.com secure.nai.com www.networkassociates.com networkassociates.com avp.ru www.avp.ru www.kaspersky.ru www.viruslist.ru viruslist.ru avp.ch www.avp.ch www.avp.com avp.com us.mcafee.com mcafee.com www.mcafee.com dispatch.mcafee.com download.mcafee.com mast.mcafee.com www.trendmicro.com www3.ca.com ca.com www.ca.com www.my-etrust.com my-etrust.com ar.atwola.com phx.corporate-ir.net www.microsoft.com

RSS|Atom
Rapports sur les menaces de virus et de spywares les plus récentes envoyées à votre ordinateur