1. /
  2. Security Response/
  3. W32.Mytob.BV@mm
  4. W32.Mytob.BV@mm
  • Ajouter

W32.Mytob.BV@mm

Niveau de risque2 : Faible

Découvert :
4 Mai 2005
Mis à jour :
13 Février 2007 12:38:58 PM
Egalement appelé :
Win32.Mytob.CH [Computer Assoc, Net-Worm.Win32.Mytob.ar [Kaspe, W32/Mytob.ar@MM [McAfee], W32/Mytob-CA [Sophos], WORM_MYTOB.DM [Trend Micro]
Type :
Worm
Etendue de l'infection :
30 034 octets
Systèmes affectés :
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

W32.Mytob.BV@mm est un ver d'envoi en masse de courrier électronique avec une fonctionnalité de porte dérobée qui utilise son propre moteur SMTP pour envoyer un courrier électronique aux adresses qu'il recueille à partir de l'ordinateur compromis.

Le ver se propage également par l'intermédiaire des partages réseau en exploitant la saturation de la mémoire tampon dans le service Local Security Authority de Microsoft Windows (décrite dans le bulletin de sécurité de Microsoft MS04-011).



Comment supprimer des entrées du fichier Hosts
Si cette menace a modifié le fichier Hosts de Windows, il existe deux manières de supprimer ces entrées :
  • Installer et exécuter la version actuelle de LiveUpdate. Ceci supprimera seulement les entrées qui se rapportent à des domaines de Symantec.
  • Modifiez manuellement le fichier Hosts et supprimez toutes les entrées que la menace a ajoutées.

Pour exécuter la version actuelle de LiveUpdate
  1. Cliquez sur Télécharger LiveUpdate .


    Remarque : Si vous ne lisez pas cette page Web sur l'ordinateur qui obtient l'erreur, l'adresse pour télécharger le fichier est :

    ftp://ftp.symantec.com/public/francais/liveupdate/lusetup.exe

    Au besoin, vous pouvez taper cette adresse dans la barre d'adresses de l'ordinateur rencontrant le problème. Les modifications apportées au fichier Hosts ne vous empêcheront pas de vous rendre sur ce site.


  2. Enregistrez le fichier sur le bureau Windows.
  3. Cliquez deux fois sur l'icône lusetup.exe présente sur le bureau afin d'installer LiveUpdate.
  4. Exécutez LiveUpdate.
  5. Le message LU1860: LiveUpdate has detected a potential security compromise on your computer s'est-il affiché ?
    • Si c'est le cas, laissez LiveUpdate "Supprimer ces entrées du fichier hosts" (Recommandé).
      LiveUpdate devrait pouvoir s'exécuter.
    • Si ce n'est pas le cas, ce n'était pas la cause du problème. Revenez à la section de suppression.


Pour modifier manuellement le fichier Hosts et supprimer toutes les entrées que le ver a ajoutées


Remarque : L'emplacement du fichier Hosts peut changer et quelques ordinateurs peuvent ne pas avoir ce fichier. Par exemple, si le fichier existe sous Windows 98, il sera généralement dans C:\Windows ; et il se trouve dans le dossier C:\WINNT\system32\drivers\etc sous Windows 2000. Il peut également y avoir des copies multiples de ce fichier à divers emplacements.



Suivez les instructions pour votre système d'exploitation :
  • Windows 95/98/Me/NT/2000
    1. Cliquez sur Démarrer > Trouver ou Rechercher > Fichiers ou Dossiers.
    2. Assurez-vous que (C:) soit bien sélectionné dans la boîte de dialogue "Rechercher dans" et que l'option Inclure les sous-dossiers ait également été choisie.
    3. Dans l'un des champs de recherche des fichiers, tapez :

      hosts

    4. Cliquez sur Trouver maintenant ou Rechercher maintenant.
    5. Pour chaque fichier Hosts que vous trouvez, cliquez avec le bouton droit de la souris sur le fichier puis cliquez sur Ouvrir avec.
    6. Désélectionnez l'option Toujours utiliser ce programme pour ouvrir ce type de fichier.
    7. Parcourez la liste de programmes et cliquez deux fois sur Bloc-notes.
    8. Quand le fichier s'ouvre, supprimez toutes les entrées de l'étape 13 de la section Détails techniques.
    9. Fermez le bloc-notes et enregistrez vos changements une fois invité.

  • Windows XP
    1. Cliquez sur Démarrer > Rechercher.
    2. Cliquez sur Tous les fichiers et tous les dossiers.
    3. Dans le champ "Une partie ou l'ensemble du nom de fichier", tapez :

      hosts

    4. Assurez-vous que (C:) ou Disques durs locaux est bien sélectionné dans la boîte de dialogue Rechercher dans.
    5. Cliquez sur Options avancées.
    6. Sélectionnez Rechercher dans les dossiers système.
    7. Sélectionnez Rechercher dans les sous-dossiers.
    8. Cliquez sur Rechercher.
    9. Cliquez sur Trouver maintenant ou Rechercher maintenant.
    10. Pour chaque fichier Hosts que vous trouvez, cliquez avec le bouton droit de la souris sur le fichier puis cliquez sur Ouvrir avec.
    11. Désélectionnez l'option Toujours utiliser le programme sélectionné pour ouvrir ce type de fichier.
    12. Parcourez la liste de programmes et cliquez deux fois sur Bloc-notes.
    13. Quand le fichier s'ouvre, supprimez toutes les entrées de l'étape 13 de la section Détails techniques.
    14. Fermez le bloc-notes et enregistrez vos changements une fois invité.


Dates de la protection antivirus

  • Version initiale des définitions Rapid Release4 Mai 2005
  • Dernière version des définitions Rapid Release28 Septembre 2010 révision 054
  • Version initiale des définitions Daily Certified4 Mai 2005
  • Dernière version des définitions Daily Certified28 Septembre 2010 révision 036
  • Date de la version initiale des définitions Weekly Certified4 Mai 2005
Cliquez ici si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.

Evaluation de la menace

Virulence

  • Niveau de virulence :Low
  • Nombre d'infections :0 - 49
  • Nombre de sites :0 - 2
  • Répartition géographique :Low
  • Contrôle de la menace :Easy
  • Suppression :Moderate

Dommages

  • Niveau de dommages :Medium
  • Elément déclencheur :Ne s'applique pas
  • Résultat d'activation :Ouvre une porte dérobée.
  • Envoi de courrier électronique en masse :Envoie des courriers électroniques
  • Supprime des fichiers :Ne s'applique pas
  • Modifie des fichiers :Modifie le fichier Hosts.
  • Diffuse des informations confidentielles :Ne s'applique pas
  • Dégrade les performances :Ne s'applique pas
  • Cause l'instabilité du système :Ne s'applique pas
  • Compromet les paramètres de sécurité :Bloque l'accès aux sites Web liés à la sécurité.

Distribution

  • Niveau de distribution :High
  • Objet du courrier électronique :Variable
  • Nom de la pièce jointe :Variable
  • Taille de la pièce jointe :Ne s'applique pas
  • Ports :Ports TCP aléatoires.
  • Lecteurs partagés :Ne s'applique pas
  • Cible d'infection :Ne s'applique pas
  • Date de la pièce jointe :Ne s'applique pas
Rédigé par :Dong Hoon Lee