1. /
  2. Security Response/
  3. W32.Mytob.U@mm
  4. W32.Mytob.U@mm
  • Ajouter

W32.Mytob.U@mm

Niveau de risque2 : Faible

Découvert :
1 Avril 2005
Mis à jour :
13 Février 2007 12:36:37 PM
Egalement appelé :
Net-Worm.Win32.Mytob.p [Kasper, Net-Worm.Win32.Mytob.q [Kasper, W32/Mytob.gen [McAfee], W32/Mytob-R [Sophos], W32/Mytob-W [Sophos], WORM_MYTOB.W [Trend Micro], WORM_MYTOB.X [Trend Micro], WORM_MYTOB.Z [Trend Micro]
Type :
Worm
Systèmes affectés :
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

W32.Mytob.U@mm est un ver d'envoi en masse de courrier électronique qui a des fonctionnalités de porte dérobée et utilise son propre moteur SMTP pour envoyer un courrier électronique aux adresses qu'il recueille à partir de l'ordinateur compromis.

Le virus se propage sur le réseau en exploitant la vulnérabilité de saturation de la mémoire tampon dans l'interface d'appel de procédure distante (RPC) du modèle DCOM Windows (décrite dans le bulletin de sécurité de Microsoft MS03-026) et la saturation de mémoire tampon dans le service LSASS de Microsoft Windows (décrite dans le bulletin de sécurité de Microsoft MS04-011).



Comment supprimer des entrées du fichier Hosts
Si cette menace a modifié le fichier Hosts de Windows, il existe deux manières de supprimer ces entrées :
  • Installer et exécuter la version actuelle de LiveUpdate. Ceci supprimera seulement les entrées qui se rapportent à des domaines de Symantec.
  • Modifiez manuellement le fichier Hosts et supprimez toutes les entrées que la menace a ajoutées.

Pour exécuter la version actuelle de LiveUpdate
  1. Cliquez sur Télécharger LiveUpdate .

    Remarque :
    Si vous ne lisez pas cette page Web sur l'ordinateur qui obtient l'erreur, l'adresse pour télécharger le fichier est :

    ftp://ftp.symantec.com/public/francais/liveupdate/lusetup.exe

    Au besoin, vous pouvez taper cette adresse dans la barre d'adresses de l'ordinateur rencontrant le problème. Les modifications apportées au fichier Hosts ne vous empêcheront pas de vous rendre sur ce site.

  2. Enregistrez le fichier sur le bureau Windows.
  3. Cliquez deux fois sur l'icône lusetup.exe présente sur le bureau afin d'installer LiveUpdate.
  4. Exécutez LiveUpdate.
  5. Le message LU1860: LiveUpdate has detected a potential security compromise on your computer s'est-il affiché ?
    • Si c'est le cas, laissez LiveUpdate "Supprimer ces entrées du fichier hosts" (Recommandé).
      LiveUpdate devrait pouvoir s'exécuter.
    • Si ce n'est pas le cas, ce n'était pas la cause du problème. Revenez à la section de suppression.


Pour modifier manuellement le fichier Hosts et supprimer toutes les entrées que le ver a ajoutées

Remarque : L'emplacement du fichier Hosts peut changer et quelques ordinateurs peuvent ne pas avoir ce fichier. Par exemple, si le fichier existe sous Windows 98, il sera généralement dans C:\Windows ; et il se trouve dans le dossier C:\WINNT\system32\drivers\etc sous Windows 2000. Il peut également y avoir des copies multiples de ce fichier à divers emplacements.


Suivez les instructions pour votre système d'exploitation :
  • Windows 95/98/Me/NT/2000
    1. Cliquez sur Démarrer > Trouver ou Rechercher > Fichiers ou Dossiers.
    2. Assurez-vous que (C:) soit bien sélectionné dans la boîte de dialogue "Rechercher dans" et que l'option Inclure les sous-dossiers ait également été choisie.
    3. Dans l'un des champs de recherche des fichiers, tapez :

      hosts

    4. Cliquez sur Trouver maintenant ou Rechercher maintenant.
    5. Pour chaque fichier Hosts que vous trouvez, cliquez avec le bouton droit de la souris sur le fichier puis cliquez sur Ouvrir avec.
    6. Désélectionnez l'option Toujours utiliser ce programme pour ouvrir ce type de fichier.
    7. Parcourez la liste de programmes et cliquez deux fois sur Bloc-notes.
    8. Quand le fichier s'ouvre, supprimez toutes les entrées de l'étape 17 de la section Détails techniques.
    9. Fermez le bloc-notes et enregistrez vos changements une fois invité.

  • Windows XP
    1. Cliquez sur Démarrer > Rechercher.
    2. Cliquez sur Tous les fichiers et tous les dossiers.
    3. Dans le champ "Une partie ou l'ensemble du nom de fichier", tapez :

      hosts

    4. Assurez-vous que (C:) ou Disques durs locaux est bien sélectionné dans la boîte de dialogue Rechercher dans.
    5. Cliquez sur Options avancées.
    6. Sélectionnez Rechercher dans les dossiers système.
    7. Sélectionnez Rechercher dans les sous-dossiers.
    8. Cliquez sur Rechercher.
    9. Cliquez sur Trouver maintenant ou Rechercher maintenant.
    10. Pour chaque fichier Hosts que vous trouvez, cliquez avec le bouton droit de la souris sur le fichier puis cliquez sur Ouvrir avec.
    11. Désélectionnez l'option Toujours utiliser le programme sélectionné pour ouvrir ce type de fichier.
    12. Parcourez la liste de programmes et cliquez deux fois sur Bloc-notes.
    13. Quand le fichier s'ouvre, supprimez toutes les entrées de l'étape 17 de la section Détails techniques.
    14. Fermez le bloc-notes et enregistrez vos changements une fois invité.

Dates de la protection antivirus

  • Version initiale des définitions Rapid Release2 Avril 2005
  • Dernière version des définitions Rapid Release13 Avril 2012 révision 033
  • Version initiale des définitions Daily Certified2 Avril 2005
  • Dernière version des définitions Daily Certified13 Avril 2012 révision 025
  • Date de la version initiale des définitions Weekly Certified5 Avril 2005
Cliquez ici si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.

Evaluation de la menace

Virulence

  • Niveau de virulence :Low
  • Nombre d'infections :50 - 999
  • Nombre de sites :More than 10
  • Répartition géographique :Low
  • Contrôle de la menace :Easy
  • Suppression :Moderate

Dommages

  • Niveau de dommages :Medium
  • Elément déclencheur :Réduit les paramètres de sécurité
  • Résultat d'activation :Ne s'applique pas
  • Envoi de courrier électronique en masse :Utilise son propre moteur SMTP pour s'expédier aux courriers électroniques recueillis sur l'ordinateur compromis.
  • Supprime des fichiers :Ne s'applique pas
  • Modifie des fichiers :Ne s'applique pas
  • Diffuse des informations confidentielles :Ne s'applique pas
  • Dégrade les performances :La propagation peut dégrader les performances.
  • Cause l'instabilité du système :Ne s'applique pas
  • Compromet les paramètres de sécurité :Modifie les fichiers Hosts

Distribution

  • Niveau de distribution :High
  • Objet du courrier électronique :Variable
  • Nom de la pièce jointe :Variable
  • Taille de la pièce jointe :Ne s'applique pas
  • Ports :Ports TCP aléatoires
  • Lecteurs partagés :Ne s'applique pas
  • Cible d'infection :Ne s'applique pas
  • Date de la pièce jointe :Ne s'applique pas
Rédigé par :Kevin Ha