Les dernières alertes aux Virus
Alias
I-Worm.Mydoom.t (Kaspersky Lab) est également connu sous
le nom de:
W32/Mydoom.v@MM (McAfee) W32.Mydoom.T@mm
(Symantec) Win32/Mydoom.X@mm (RAV) Worm/MyDoom.U.3 (H+BEDV).
Genre: Ver email
Détails techniques
Mydoom.t est un ver d'Internet qui se propage via fichier joint à un email. Il est compressé avec UPX; décompressé, sa taille est d'environ 34KB et compressé d'environ 18KB.
Le Ver est activé seulement si l'utilisateur fait un double clic sur le fichier joint infecté, sur quoi le ver s'installe lui-même dans le système et lance ses routines de propagation.
Installation
Mydoom.t se copie dans le répertoire de système de Windows sous le nom de "windrv32.exe". Ce fichier est alors enregistré dans la clef de registres
"Autorun" suivante:
- [HKLM\Software\Windows\CurrentVersion\Run\]
"WinSPF"="%SysDir%\windrv32.exe"
Mydoom.t crée également le mutex WWWWDefaceDWWW pour s'identifier lui-même dans le système.
Charactéristiques des emails infectés
Nom de l'expéditeur
Le nom de l'expéditeur est ursupé du carnet d'adresses de la machine infectée ou composé dans des combinaisons aléatoires des noms suivants:
first name:
|
last name:
|
Alex
Alexander
Andrew
Anthony
Barry
Bernard
Bill
Brian
Calvin
Carl
Charles
Christopher
Clifford
Daniel
David
Dennis
Donald
Douglas
Edward
Eric
Francisco
Frank
Gary
George
Gregory
Harold
Henry
James
Jason
Jay
Jeffrey
Jerry
Jim
John
Jon
Jose
Joseph
Joshua
Kenneth
Kevin
Larry
Leon
Leroy
Lloyd
Marcus
Mario
Mark
Matthew
Michael
Micheal
Miguel
Oscar
Patrick
Paul
Peter
Randall
Raymond
Richard
Ricky
Robert
Ronald
Ronnie
Scott
Stephen
Steven
Theodore
Thomas
Timothy
Tom
Tommy
Troy
Walter
William
|
Adams
Allen
Anderson
Baker
Brown
Campbell
Carter
Clark
Cruz
Davis
Freeman
Garcia
Gomez
Gonzalez
Green
Hall
Harris
Hernandez
Hill
Jackson
Johnson
Jones
King
Lee
Lewis
Lopez
Marshall
Martin
Martinez
Miller
Mitchell
Moore
Murray
Nelson
Ortiz
Parker
Perez
Phillips
Porter
Roberts
Robinson
Rodriguez
Scott
Simpson
Smith
Stevens
Taylor
Thomas
Thompson
Tucker
Turner
Walker
Webb
Wells
White
Williams
Wilson
Wright
Young
|
Domaine d'expéditeur
Choisi au hasard:
aol.com
dailymail.co.uk
gmx.net
hotmail.com
mail.com
t-online.de
yahoo.co.uk
Sujet:
Choisi au hasard:
hello
here
Hi!
important
Information
my
News
Notice again
Private document
Re: Hello
Re: Hi
Re: Message
Re: Proof of concept
Re: Question
Re: Status
Re: Your document
read it immediately
Thank you!
thanks!
You win!
Texte du corps
Choisi au hasard:
apply patch.
apply this patch!
Can you confirm it?
For further details see the attachment.
For more details see the attachment.
fun game!
fun photos
fun!
game
I have attached document.
lol!
Monthly news report.
New game
Please answer quickly!
Please confirm the document.
Please confirm!
Please read the attached file!
Please read the attached file.
Please read the document.
Please read the important document.
Please see the attached file for details
relax
screensaverlol!
See attached file for details.
See the file.
See the file.
Thanks!
Thanks!
Virus removal tool
Waiting for a Response. Please read the attachment.
You are infected by virus. Run this exe
Your archive is attached.
Your requested mail has been attached.
Nom du fichier joint
Choisi au hasard:
antivirus.exe
bill.zip
data.zip
details.zip
doc.zip
doc.zip
document.zip
file.exe
file.zip
fun.scr
game.exe
info.zip
information.zip
letter.zip
lol.scr
message,.zip
new.exe
new.zip
patch.exe
photo.exe
pic.exe
report.zip
bill.doc .pif
bill.rtf .pif
bill.txt .pif
doc.doc .pif
doc.rtf .pif
doc.txt .pif
document.doc .pif
mesg.doc .pif
mesg.rtf .pif
mesg.txt .pif
Message.html .pif
rep.txt .pif
report.doc .pif
report.rtf .pif
report.txt .pif
review.doc .pif
review.rtf .pif
review.txt .pif
Signature
Basé sur le modèle suivant:
+++ Attachment: No Virus found
+++ %s
D'où "%s" est choisi au hasard:
Bitdefender AntiVirus - www.bitdefender.com
F-Secure AntiVirus - www.f-secure.com
Kaspersky AntiVirus - www.kaspersky.com
MC-Afee AntiVirus - www.mcafee.com
MessageLabs AntiVirus - www.messagelabs.com
Norman AntiVirus - www.norman.com
Norton AntiVirus - www.symantec.de
Panda AntiVirus - www.pandasoftware.com
Propagation
Mydoom.t moissonne les adresses du carnet d'adresses et scan la machine pour trouver des fichiers avec les extensions suivantes:
asp
cfg
cgi
dbx
dht
eml
htm
jsp
mht
msg
|
php
sht
stm
tbb
txt
uin
vbs
wab
xls
|
Cette variante de Mydoom se propage en se connectant directement sur la victime potentielle de serveurs SMTP en construisant des noms de serveur
SMTP basés sur les noms de domaine moissonnés sur la machine infectée.
Autre
Mydoom.t contient une fonction de téléchargement qui essaye de télécharger le Backdoor.Win32.Surila.k des sites suivants:
http://vugs.geog.uu.nl
http://www.ach.ch
http://www.hiw.kuleuven.ac.be
http://www.llc.unibo.it
http://www.mercyships.de
http://www.planetboredom.net
http://www.surrenderzeeland.nl
Mydoom.t contient le message suivant des codeurs:
We searching 4 work in AV industry. Ce qui voudrait à peu près dire:
"Nous recherchons du travail dans le domaine de l'industrie Anti-Virus".
Source de ces renseignements :
Copyright © 1996 - 2005 Kasperky Lab
http://www.viruslist.com
ANTI-TROJAN.INFO - ©2004 - 2005 [CONTACT ANTI-
TROJAN]
