|
|
|
|
|
Symantec.com > Grandes entreprises > Security Response > W32.Mydoom.A@mm
IMPRIMEZ CETTE PAGE

W32.Mydoom.A@mm

Niveau de risque2 : Faible

Découvert :
26 Janvier 2004
Mis à jour :
13 Février 2007 12:20:09 PM
Egalement appelé :
W32.Novarg.A@mm, W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend], Win32.Mydoom.A [Computer Assoc, W32/Mydoom-A [Sophos], I-Worm.Novarg [Kaspersky]
Type :
Worm
Etendue de l'infection :
22 528 octets
Systèmes affectés :
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

En raison de la diminution des virus soumis, Symantec Security Response a réévalué cette menace qui passe du Niveau 3 au Niveau 2 à compter du 30 mars 2004.

W32.Mydoom.A@mm (également connu sous le nom W32.Novarg.A@mm) est un ver d'envoi en masse de courrier électronique qui se présente sous la forme d'une pièce jointe avec l'extension .bat, .cmd, .exe, .pif, .scr ou .zip.

Lorsqu'un ordinateur est infecté, le ver installe une porte dérobée (backdoor) sur le système en ouvrant les ports TCP 3127 à 3198. Ceci permet éventuellement à un pirate de se connecter à l'ordinateur et de l'utiliser comme proxy afin d'accéder à ses ressources réseau.

De plus, cette porte dérobée permet de télécharger et d'exécuter des fichiers arbitraires.

Dans 25% des cas, il est probable qu'un ordinateur infecté par le ver réalise une attaque de type Déni de Service (DoS) le 1er février 2004 à 16:09:18 UTC, en fonction de la date/heure système de la machine. Si le ver lance le déni de service, il ne s'expédiera pas en masse. Il contient également une date de déclenchement pour cesser de se propager et suspendre le déni de service le 12 février 2004. Tandis que le ver cessera de se propager le 12 février 2004, le composant de porte dérobée continuera de fonctionner après cette date.

Remarques :
  • Les produits "grand public" Symantec prenant en charge la fonctionnalité de blocage des vers détectent cette menace automatiquement lorsqu'elle essaye de se propager.
  • Symantec Security Response a créé un outil de suppression pour nettoyer toutes les infections de W32.Mydoom.A@mm.
  • Les définitions de virus antérieures au 04.02.04 détectent ce ver comme W32.Novarg.A@mm.




Lorsque W32.Mydoom.A@mm envoie du courrier électronique, il évitera d'en envoyer aux domaines contenant l'une des chaînes suivantes :
  • avp
  • syma
  • icrosof
  • msn.
  • hotmail
  • panda
  • sopho
  • borlan
  • inpris
  • example
  • mydomai
  • nodomai
  • ruslis
  • .gov
  • gov.
  • .mil
  • foo.
  • berkeley
  • unix
  • math
  • bsd
  • mit.e
  • gnu
  • fsf.
  • ibm.com
  • google
  • kernel
  • linux
  • fido
  • usenet
  • iana
  • ietf
  • rfc-ed
  • sendmail
  • arin.
  • ripe.
  • isi.e
  • isc.o
  • secur
  • acketst
  • pgp
  • tanford.e
  • utgers.ed
  • mozilla

Ou aux comptes qui correspondent aux chaînes suivantes :
  • root
  • info
  • samples
  • postmaster
  • webmaster
  • noone
  • nobody
  • nothing
  • anyone
  • someone
  • your
  • you
  • me
  • bugs
  • rating
  • site
  • contact
  • soft
  • no
  • somebody
  • privacy
  • service
  • help
  • not
  • submit
  • feste
  • ca
  • gold-certs
  • the.bat
  • page

Ou aux comptes qui contiennent les chaînes suivantes :
  • admin
  • icrosoft
  • support
  • ntivi
  • unix
  • bsd
  • linux
  • listserv
  • certific
  • google
  • accoun


Il fait suivre l'un des noms suivants au nom de domaine obtenu :
  • adam
  • alex
  • alice
  • andrew
  • anna
  • bill
  • bob
  • brenda
  • brent
  • brian
  • claudia
  • dan
  • dave
  • david
  • debby
  • fred
  • george
  • helen
  • jack
  • james
  • jane
  • jerry
  • jim
  • jimmy
  • joe
  • john
  • jose
  • julie
  • kevin
  • leo
  • linda
  • maria
  • mary
  • matt
  • michael
  • mike
  • peter
  • ray
  • robert
  • sam
  • sandra
  • serg
  • smith
  • stan
  • steve
  • ted
  • tom


Dates de la protection antivirus

  • Version initiale des définitions Rapid Release26 Janvier 2004
  • Dernière version des définitions Rapid Release24 Octobre 2011 révision 005
  • Version initiale des définitions Daily Certified26 Janvier 2004
  • Dernière version des définitions Daily Certified24 Octobre 2011 révision 032
  • Date de la version initiale des définitions Weekly Certified26 Janvier 2004
Cliquez ici si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.

Evaluation de la menace

Virulence

  • Niveau de virulence :Low
  • Nombre d'infections :More than 1000
  • Nombre de sites :More than 10
  • Répartition géographique :High
  • Contrôle de la menace :Easy
  • Suppression :Moderate

Dommages

  • Niveau de dommages :Medium
  • Elément déclencheur :ne s'applique pas
  • Résultat d'activation :ne s'applique pas
  • Envoi de courrier électronique en masse :S'expédie aux adresses électroniques trouvées dans un ensemble de fichiers spécifiques. Il ignorer les adresses électroniques finissant en .edu.
  • Supprime des fichiers :ne s'applique pas
  • Modifie des fichiers :ne s'applique pas
  • Diffuse des informations confidentielles :ne s'applique pas
  • Dégrade les performances :Il réalise une attaque Déni de Service (DoS) contre www.sco.com.
  • Cause l'instabilité du système :ne s'applique pas
  • Compromet les paramètres de sécurité :Il permet l'accès à distance non autorisé.

Distribution

  • Niveau de distribution :High
  • Objet du courrier électronique :Varie
  • Nom de la pièce jointe :Varie avec une extension .pif, .scr, .exe, .cmd, .bat ou .zip.
  • Taille de la pièce jointe :22 258 octets
  • Ports :TCP 3127-3198
  • Lecteurs partagés :ne s'applique pas
  • Cible d'infection :ne s'applique pas
  • Date de la pièce jointe :ne s'applique pas
Rédigé par :Peter Ferrie
Détails techniques
©1995 - 2012 Symantec Corporation
Plan du site|
Mentions légales|
Politique de confidentialité|
Nous contacter|
Contrats de licences