W32/MyDoom-O

Veuillez suivre les instructions de suppression des vers.

Veuillez suivre les instructions de suppression de W32/MyDoom-O.

W32/MyDoom-O est un ver de pollupostage qui se propage en s'envoyant par courriel via son propre moteur SMTP. Le ver permet un accès distant non autorisé à l'ordinateur via un réseau. Lorsqu'il est exécuté pour la première fois, le ver se copie dans le dossier Windows ou Temp sous le nom java.exe et ajoute l'une des entrées suivantes du registre pour s'assurer que la copie est exécutée à chaque démarrage de Windows : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\JavaVM HKCU\Software\Microsoft\Windows\CurrentVersion\Run\JavaVM HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Services HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Services W32/MyDoom-O crée aussi un fichier nommé services.exe dans le dossier Windows ou Temp et exécute le fichier. Services.exe est le composant de porte dérobée de W32/MyDoom-O. W32/MyDoom-O recherche les adresses électroniques du disque dur. Il recherche les fichiers avec les extensions PL*, PH*, TX*, HT*, ASP, TBB, SHT*, WAB, ADB et DBX et le carnet d'adresses Windows. De plus, le ver peut utiliser un moteur de recherche Internet pour trouver d'autres adresses électroniques. Le ver envoie une requête au moteur de recherche à l'aide de noms de domaines issus d'adresses trouvées sur le disque dur, puis examine les résultats de la requête, en cherchant d'autres adresses. Les moteurs de recherche Internet utilisés par W32/MyDoom-O et le pourcentage de chances que chacun soit utilisé sont : www.google.com (45 %) search.lycos.com (22,5 %) search.yahoo.com (20 %) www.altavista.com (12,5 %) Lors du choix des adresses auxquelles s'envoyer, W32/MyDoom-O évite les adresses qui contiennent l'une des chaînes de caractères suivantes : mailer-d spam abuse master sample accoun privacycertific bugs listserv submit ntivi support admin page the.bat gold-certs ca feste not help foo no soft site rating me you your someone anyone nothing nobody noone info winrar winzip rarsoft sf.net sourceforge ripe. arin. google gnu. gmail seclist secur bar. foo.com trend update uslis domain example sophos yahoo spersk panda hotmail msn. msdn. microsoft sarc. syma avp L'expéditeur du courriel envoyé par le ver est usurpé. L'objet peut être neutre ou l'un des suivants : hello hi error status test report delivery failed Message could not be delivered Mail System Error - Returned Mail Delivery reports about your e-mail Returned mail: see transcript for details Returned mail: Data format error Le corps du message du courriel est construit à partir d'une série de chaînes de caractères facultatives présentes dans le ver. Le message envoyé est vierge ou sembable à l'un des messages suivants : Dear user of <domaine> Mail server administrator of <domain> would like to inform you that We have detected that your e-mail account has been used to send a large amount of unsolicited e-mail messages during this recent week. We suspect that your computer had been compromised by a recent virus and now runs a trojan proxy server. Please follow our instructions in the attachment file in order to keep your computer safe. Virtually yours <domaine> user support team. The message could not be delivered The original message was included as attachment The original message was received at <heure> from <adresse> ----- The following addresses had permanent fatal errors ----- <addresse> ----- Transcript of the session follows ----- ... while talking to host <nomhôte>: >>> MAIL From:<adresse> <<< 501 User unknown Session aborted >>> RCPT To:<addresse> <<< 550 MAILBOX NOT FOUND The message was undeliverable due to the following reason(s): Your message was not delivered because the destination computer was not reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configuration parameters. Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now. Your message was not delivered within <number> days: Mail server <nomhôte> is not responding The following recipients did not receive this message: <adresse> Please reply to postmaster@<domaine> if you feel this message to be in error. Le fichier joint peut être appelé de la même manière que le nom utilisateur ou le domaine ou en utilisant l'un des noms suivants : readme instruction transcript mail letter file text attachment document message avec une extension facultative en DOC, TXT, HTM, HTML et une extension finale en EXE, COM, BAT, CMD, SCR ou PIF. Le fichier joint peut aussi être un fichier zip contenant un fichier nommé comme décrit ci-dessus.