Inscriptions | Discussions | Enquêtes | Plan du Site




Toutes les Menaces

Virus

Hackers

Spams
Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
News
Glossaire


Environnement du Malware
Descriptions du Malware
Qui se cache derrière le Malware
Historique du Malware
Tendances du Malware
Si votre ordinateur est infecté

 
Recherche Description Malware

 

  Home / Virus / Encyclopédie Virus / Descriptions du Malware / Vers de réseau / Vers de Messagerie

Email-Worm.Win32.Mydoom.a

Other versions: .l, .m

Aliases
Email-Worm.Win32.Mydoom.a (Kaspersky Lab) is also known as: I-Worm.Mydoom.a (Kaspersky Lab), W32/Mydoom.a@MM (NAI),   W32.Mydoom.A@mm (NAV),   Win32.HLLM.MyDoom (DrWeb),   W32/MyDoom-A (Sophos),   Win32/Mydoom.A@mm (RAV),   WORM_MYDOOM.A (PCCIL),   Worm/Mydoom.A (H+BEDV),   W32/Mydoom.A@mm (FPROT),   Win32:Mydoom (AVAST),   I-Worm/Mydoom.A (AVG),   Win32.Novarg.A@mm (BitDef7),   Worm.SCO.A (Clamav),   W32/Mydoom.A.worm (Panda),   Win32/Mydoom.A (Nod32)
Description added 06 Oct 2005
Comportement Email-Worm, ver de messagerie
Détails Techniques
Egalement connu sous le nom de Novarg.

Ce ver se propage via Internet sous forme de fichiers attachés à des messages infectés. Il se propage également via le réseau de partage de fichiers Kazaa. Le ver est un fichier Windows PE EXE de 22 528 octets compressé à l'aide de UPX. La taille du fichier décompressé est de 40 Ko environ.

Le ver est activé uniquement si l'utilisateur ouvre l'archive et lance le fichier infecté en double-cliquant sur le fichier attaché. Le ver s'installe alors dans le système et entame le processus de reproduction.

Le ver comporte une fonction backdoor et est également programmé pour mener des attaques DOS sur le site de www.sco.com le 1er Février 2004.

Une partie du corps du ver est chiffré.

Installation

Suite au lancement, le ver ouvre Windows Notepad affichant une sélection aléatoire de symboles :

Sélection aléatoire de symboles

Durant l'installation, le ver se copie sous le nom de taskmon.exe dans le répertoire système Windows et enregistre ce fichier dans la clé autorun du registre système : 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "TaskMon" = "%System%\taskmon.exe"
Le ver crée un fichier shimgapi.dll dans le répertoire système Windows qui est un composant de porte dérobée (un serveur proxy) et l'enregistre également dans le registre système : 
[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
 "(Default)" = "%SysDir%\shimgapi.dll"
Shimgapi.dll sera lancé comme une procédure liée à Explorer.exe.

Le ver crée également un fichier appelé Message dans le répertoire temporaire (d'ordinaire dans windir\temp). Ce fichier contient une sélection aléatoire de symboles.

Afin que le ver puisse s'identifier dans le système, il crée plusieurs clés supplémentaires dans le registre système: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
Le ver crée un identifiant unique SwebSipxSmtxSO afin que la machine ne soit pas infectée par d'autres programmes malicieux.

Diffusion de messages

Lorsqu'il envoie des messages infectés, le ver utilise son propre moteur SMTP. Le ver tente de se connecter directement au serveur de messagerie destinataire.

Afin de trouver les adresses emails auxquelles envoyer des messages infectés, le ver recherche des fichiers aux extensions suivantes : 

asp
dbx
tbb
htm
sht
php
adb
pl
wab
txt
et regroupe les adresses trouvées dans ces fichiers. Le ver ignore les adresses dont le suffixe est .edu.

Les messages infectés présentent les caractéristiques suivantes:

An example of an infected email

Adresse de l'expéditeur: 

aléatoire
En-tête du message (choisi de façon aléatoire parmi la liste suivante) 
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Corps du message (choisi de façon aléatoire parmi la liste suivante) 
test

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.

The message contains Unicode characters and has been sent
as a binary attachment.

Mail transaction failed. Partial message is available.
Nom du fichier attaché: (peut être un mot de la liste suivante ou deux mots de la liste séparés par un tiret) 
document
readme
doc
text
file
data
test
message
body
L'attaché peut avoir une des extensions suivantes: 
pif
scr
exe
cmd
bat
Le ver peut aussi envoyer des messages avec une sélection de caractères sans signification dans l'en-tête du message, le corps du message ou le nom de l'attaché.

Multiplication via P2P

Le ver vérifie qu'un client Kazaa est bien présent sur l'ordinateur et se copie dans le répertoire de partage de fichiers sous les noms suivants : 
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
aux extensions suivantes : 
bat
exe
scr
pif

Autre

Shimgapi.dll est un serveur proxy; le ver ouvre un port TCP entre 3127 et 3198 sur la machine infectée afin de recevoir des instructions. La fonction backdoor permet le créateur du ver d'obtenir un accès total au système. En plus de cela, la porte dérobée peut exécuter des fichiers au hasard téléchargés depuis Internet.

Le ver comporte aussi une fonction qui permet de mener des attaques de DOS sur le site de www.sco.com. Cette fonction doit s'activer le 1er février et continuer à être active jusqu'au 12 février 2004. Le ver enverra une requête GET toutes les millisecondes vers le port 80 du site attaqué, ce qui en cas d'épidémie mondiale, peut provoquer le total plantage du site.

 

Copyright © 1996 - 2009
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com