1. /
  2. Security Response/
  3. W32.Mytob.BE@mm
  4. W32.Mytob.BE@mm
  • Ajouter

W32.Mytob.BE@mm

Niveau de risque2 : Faible

Découvert :
21 Avril 2005
Mis à jour :
13 Février 2007 12:38:08 PM
Egalement appelé :
Win32.Mytob.{BV, CC} [Computer Associates], Net-Worm.Win32.Mytob.gen [Kasp, W32/Mytob.{ad, gen}@MM [McAfee], W32/Mytob-{AI, BT} [Sophos], WORM_MYTOB.{BT, CU, DI} [Trend Micro]
Type :
Worm
Etendue de l'infection :
61 440 octets
Systèmes affectés :
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

W32.Mytob.BE@mm est un ver d'envoi en masse de courrier électronique qui a des fonctionnalités de porte dérobée et utilise son propre moteur SMTP pour envoyer un courrier électronique aux adresses qu'il recueille à partir de l'ordinateur compromis.

Le virus se propage sur le réseau en exploitant la vulnérabilité de saturation de la mémoire tampon dans le service Local Security Authority de Microsoft Windows (décrite dans le bulletin de sécurité de Microsoft MS04-011) et la vulnérabilité de saturation de la mémoire tampon dans l'interface d'appel de procédure distante (RPC) du modèle DCOM Windows (décrite dans le bulletin de sécurité de Microsoft MS03-026 ).



Comment supprimer des entrées du fichier Hosts
Si cette menace a modifié le fichier Hosts de Windows, il existe deux manières de supprimer ces entrées :
  • Installer et exécuter la version actuelle de LiveUpdate. Ceci supprimera seulement les entrées qui se rapportent à des domaines de Symantec.
  • Modifiez manuellement le fichier Hosts et supprimez toutes les entrées que la menace a ajoutées.

Pour exécuter la version actuelle de LiveUpdate
  1. Cliquez sur télécharger LiveUpdate.

    Remarque :
    Si vous ne lisez pas cette page Web sur l'ordinateur qui obtient la notification d'erreur, l'adresse pour télécharger le fichier est :

    ftp://ftp.symantec.com/public/francais/liveupdate/lusetup.exe

    Au besoin, vous pouvez taper cette adresse dans la barre d'adresses de l'ordinateur rencontrant le problème. Les modifications apportées au fichier Hosts ne vous empêcheront pas de vous rendre sur ce site.

  2. Enregistrez le fichier sur le bureau Windows.
  3. Cliquez deux fois sur l'icône lusetup.exe présente sur le bureau afin d'installer LiveUpdate.
  4. Exécutez LiveUpdate.
  5. Le message "LU1860: LiveUpdate has detected a potential security compromise on your computer" s'est-il affiché ?
    • Si c'est le cas, laissez LiveUpdate "Supprimer ces entrées du fichier hosts" (Recommandé).
      LiveUpdate devrait pouvoir s'exécuter.
    • Si ce n'est pas le cas, ce n'était pas la cause du problème. Revenez à la section de suppression.


Pour modifier manuellement le fichier Hosts et supprimer toutes les entrées que W32.Mytob.BE@mm a ajoutées

Remarque : L'endroit du fichier Hosts peut changer et quelques ordinateurs peuvent ne pas avoir ce fichier. Par exemple, si le fichier existe sous Windows 98, il sera généralement dans C:\Windows ; et il se trouve dans le dossier C:\WINNT\system32\drivers\etc sous Windows 2000. Il peut également y avoir des copies multiples de ce fichier à divers emplacements.


Suivez les instructions pour votre système d'exploitation :
  • Windows 95/98/Me/NT/2000
    1. Cliquez sur Démarrer > Trouver ou Rechercher > Fichiers ou Dossiers.
    2. Assurez-vous que (C:) soit bien sélectionné dans la boîte de dialogue "Rechercher dans" et que l'option Inclure les sous-dossiers ait également été choisie.
    3. Dans l'un des champs de recherche des fichiers, tapez :

      hosts

    4. Cliquez sur Trouver maintenant ou Rechercher maintenant.
    5. Pour chaque fichier Hosts que vous trouvez, cliquez avec le bouton droit de la souris sur le fichier puis cliquez sur Ouvrir avec.
    6. Désélectionnez l'option Toujours utiliser ce programme pour ouvrir ce type de fichier.
    7. Parcourez la liste de programmes et cliquez deux fois sur Bloc-notes.
    8. Quand le fichier s'ouvre, supprimez toutes les entrées de l'étape 12 de la section Détails techniques.
    9. Fermez le Bloc-notes et enregistrez vos changements lorsque vous y êtes invité.

  • Windows XP
    1. Cliquez sur Démarrer > Rechercher.
    2. Cliquez sur Tous les fichiers et tous les dossiers.
    3. Dans le champ "Une partie ou l'ensemble du nom de fichier", tapez :

      hosts

    4. Assurez-vous que (C:) ou Disques durs locaux est bien sélectionné dans la boîte de dialogue Rechercher dans.
    5. Cliquez sur Options avancées.
    6. Sélectionnez Rechercher dans les dossiers système.
    7. Sélectionnez Rechercher dans les sous-dossiers.
    8. Cliquez sur Rechercher.
    9. Cliquez sur Trouver maintenant ou Rechercher maintenant.
    10. Pour chaque fichier Hosts que vous trouvez, cliquez avec le bouton droit de la souris sur le fichier puis cliquez sur Ouvrir avec.
    11. Désélectionnez l'option Toujours utiliser le programme sélectionné pour ouvrir ce type de fichier.
    12. Parcourez la liste de programmes et cliquez deux fois sur Bloc-notes.
    13. Quand le fichier s'ouvre, supprimez toutes les entrées de l'étape 12 de la section Détails techniques.
    14. Fermez le Bloc-notes et enregistrez vos changements lorsque vous y êtes invité.


Dates de la protection antivirus

  • Version initiale des définitions Rapid Release21 Avril 2005
  • Dernière version des définitions Rapid Release19 Février 2013 révision 016
  • Version initiale des définitions Daily Certified21 Avril 2005
  • Dernière version des définitions Daily Certified3 Avril 2012 révision 022
  • Date de la version initiale des définitions Weekly Certified27 Avril 2005
Cliquez ici si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.

Evaluation de la menace

Virulence

  • Niveau de virulence :Low
  • Nombre d'infections :50 - 999
  • Nombre de sites :More than 10
  • Répartition géographique :Low
  • Contrôle de la menace :Easy
  • Suppression :Moderate

Dommages

  • Niveau de dommages :Medium
  • Elément déclencheur :Ne s'applique pas
  • Résultat d'activation :Ouvre une porte dérobée qui permet un accès distant non autorisé.
  • Envoi de courrier électronique en masse :Envoie du courrier électronique.
  • Supprime des fichiers :Ne s'applique pas
  • Modifie des fichiers :Modifie le fichier Hosts.
  • Diffuse des informations confidentielles :Ne s'applique pas
  • Dégrade les performances :Ne s'applique pas
  • Cause l'instabilité du système :Ne s'applique pas
  • Compromet les paramètres de sécurité :Bloque l'accès à des sites Web liés à la sécurité.

Distribution

  • Niveau de distribution :High
  • Objet du courrier électronique :Variable
  • Nom de la pièce jointe :Variable
  • Taille de la pièce jointe :61 440 octets
  • Ports :Ne s'applique pas
  • Lecteurs partagés :Ne s'applique pas
  • Cible d'infection :Exploite des vulnérabilités.
  • Date de la pièce jointe :Ne s'applique pas
Rédigé par :Jeong Mun