Forte
Récapitulatif
Récapitulatif
Action- Plus d'informations
| Comment il se propage |
|
|---|---|
| Systèmes d'exploitation affectés | Windows |
| Caractéristiques |
|
| Inclus dans nos produits depuis | Juin 2005 (3.94) |
| Protection disponible depuis | 11 avril 2005 04:55:03 (GMT) |
| Dernière mise à jour | 12 avril 2005 09:27:40 (GMT) |
| Détecté par | Tous les produits Sophos |
Action
- Récapitulatif
- Action
- Plus d'informations
Veuillez suivre les instructions de suppression des vers.
Veuillez lire les instructions de suppression de W32/Mytob-Z.
Plus d'informations
- Récapitulatif
- Action
- Plus d'informations
Les produits antivirus de Sophos sont dotés la technologie de détection par Genotype™ qui, sans qu'aucune mise à jour ne soit nécessaire, permet de se défendre contre les nouvelles menaces. Les clients Sophos sont protégés contre W32/Mytob-Z (détecté sous le nom de W32/Mydoom-Gen) depuis la version 3.92.
W32/Mytob-Z est un ver à diffusion de masse et un cheval de Troie de porte dérobée IRC.
W32/Mytob-Z est capable de se propager par le biais de nombreuses failles du système d'exploitation comme la faille LSASS (MS04-011).
W32/Mytob-Z collecte les adresses électroniques présentes dans les fichiers trouvés sur l'ordinateur infecté et dans le carnet d'adresses Windows.Les produits antivirus de Sophos sont dotés la technologie de détection par Genotype™ qui, sans qu'aucune mise à jour ne soit nécessaire, permet de se défendre contre les nouvelles menaces. Les clients Sophos sont protégés contre W32/Mytob-Z (détecté sous le nom de W32/Mydoom-Gen) depuis la version 3.92.
W32/Mytob-Z est un ver à diffusion de masse et un cheval de Troie de porte dérobée IRC.
W32/Mytob-Z est capable de se propager par le biais de nombreuses failles du système d'exploitation comme la faille LSASS (MS04-011).
Lorsqu'il est exécuté pour la première fois, W32/Mytob-Z se copie dans le dossier système Windows sous le nom msmgrxp.exe et crée dans le registre les entrées suivantes :
HKCU\Software\Microsoft\OLE WINTASK msmgrxp.exe
HKCU\System\CurrentControlSet\Control\Lsa WINTASK msmgrxp.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run WINTASK msmgrxp.exe
HKLM\Software\Microsoft\OLE WINTASK msmgrxp.exe
HKLM\System\CurrentControlSet\Control\Lsa WINTASK msmgrxp.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run WINTASK msmgrxp.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices WINTASK msmgrxp.exe
W32/Mytob-Z se copie dans le dossier racine sous le nom :
my_photo2005.scr see_this!!.scr funny_pic.scr
Le ver injecte aussi un fichier d'aide dans C:\hellmsn.exe qui est détecté par Sophos sous le nom de W32/Mytob-D.
W32/Mytob-Z ajoute par ailleurs les éléments suivants au fichier HOSTS pour refuser l'accès aux sites Web de sécurité correspondants :
127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 www.microsoft.com 127.0.0.1 www.trendmicro.com
Les courriels envoyés par W32/Mytob-Z ont les propriétés suivantes :
Objet :
Error Status Server Report Mail Transaction Failed Mail Delivery System hello Good day
Texte du message :
Here are your banks documents.
The original message was included as an attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
Le fichier joint est constitué d'un nom d'origine suivi d'une extension BAT, CMD, PIF, SCR, EXE ou ZIP. Le ver peut facultativement créer des doubles extensions avec DOC, TXT ou HTM pour première extension et PIF, SCR, EXE ou ZIP pour deuxième extension.
W32/Mytob-Z collecte les adresses électroniques présentes dans les fichiers trouvés sur l'ordinateur infecté et dans le carnet d'adresses Windows.
|
