Détecté: May 14, 2005
Mis à jour : February 13, 2007 12:39:15 PM
Egalement appelé : Win32.Mytob.CU [Computer Assoc, Net-Worm.Win32.Mytob.au [Kaspe, W32/Mytob.av@MM [McAfee], W32/Mytob-AZ [Sophos], WORM_MYTOB.EK [Trend Micro]
Type : Worm
Etendue de l'infection : 44 544 octets
Systèmes affectés : Windows


W32.Mydoom.BT@mm est un ver d'envoi en masse de courrier électronique qui utilise son propre moteur SMTP pour envoyer un courrier électronique aux adresses qu'il recueille à partir de l'ordinateur infecté et qui a des fonctionnalités de porte dérobée.

Dates de la protection antivirus

  • Version initiale des définitions Rapid Release May 15, 2005
  • Dernière version des définitions Rapid Release December 17, 2017 révision 019
  • Version initiale des définitions Daily Certified May 15, 2005
  • Dernière version des définitions Daily Certified December 18, 2017 révision 002
  • Date de la version initiale des définitions Weekly Certified May 18, 2005

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Rédigé par : John Canavan

Détecté: May 14, 2005
Mis à jour : February 13, 2007 12:39:15 PM
Egalement appelé : Win32.Mytob.CU [Computer Assoc, Net-Worm.Win32.Mytob.au [Kaspe, W32/Mytob.av@MM [McAfee], W32/Mytob-AZ [Sophos], WORM_MYTOB.EK [Trend Micro]
Type : Worm
Etendue de l'infection : 44 544 octets
Systèmes affectés : Windows


Lorsque W32.Mydoom.BT@mm s'exécute, il réalise les opérations suivantes :

  1. Crée le mutex H-e-l-l-B-o-t-3-!!!, de sorte que seule une instance du ver puisse fonctionner en mémoire.

  2. Se copie comme %System%\LienVandeKelder.exe

    Remarque : %System% est une variable qui fait référence au dossier System. Il s'agit par défaut de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).

  3. Ajoute la valeur :

    " [Lien vers un site Web sur le domaine www.lienvandekelder.be] " = "LienVandeKelder.exe"

    aux sous-clés de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    RunServices

    de sorte que le ver s'exécute à chaque démarrage de Windows.

  4. Modifie la valeur :

    "Start" = "4"

    dans la sous-clé de registre :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess

    pour réduire les paramètres de sécurité.

  5. Se connecte à un canal IRC en utilisant le port TCP 6677 sur irc.blackcarder.net.

  6. Il écoute les commandes qui permettent à l'attaquant distant d'effectuer l'une des actions suivantes :

    • Télécharger et exécuter des fichiers
    • Effectuer d'autres commandes IRC déterminées par l'attaquant
    • Redémarrer l'ordinateur infecté

  7. Recueille les adresses électroniques à partir du carnet d'adresses de Windows et à partir des emplacements suivants :

    • %Windir%\Temporary Internet Files
    • %UserProfile%\Local Settings\Temporary Internet Files
    • %System%

      Remarques :
    • %Windir% est une variable qui indique l'emplacement du dossier d'installation de Windows. Par défaut, il s'agit de C:\Windows (Windows 95/98/Me/XP) ou C:\Winnt (Windows NT/2000).
    • %UserProfile% est une variable qui se rapporte au dossier profil de l'utilisateur en cours. Par défaut, c'est C:\Documents and Settings\<Utilisateur en cours> (Windows NT/2000/XP).

  8. Récupère des adresses électroniques à partir des fichiers avec les extensions suivantes sur tous les disques locaux de C à Y :

    • .adb
    • .asp
    • .dbx
    • .htm*
    • .php
    • .sht*
    • .tbb
    • .txt
    • .wab

  9. Evite de s'envoyer aux adresses électroniques contenant les chaînes de caractères suivantes :

    • Hostmaster
    • Support
    • Administrator
    • Mail
    • Service
    • Admin
    • Info
    • Staff
    • Register
    • Validation
    • Webmaster

      Le ver ne s'enverra pas aux adresses électroniques qui contiennent l'une des chaînes suivantes en tant qu'élément des noms de domaine :

    • avp
    • syma
    • icrosof
    • msn.
    • hotmail
    • panda
    • sopho
    • borlan
    • inpris
    • example
    • mydomai
    • nodomai
    • ruslis
    • .gov
    • gov.
    • .mil
    • foo.
    • berkeley
    • unix
    • math
    • bsd
    • mit.e
    • gnu
    • fsf.
    • ibm.com
    • google
    • kernel
    • linux
    • fido
    • usenet
    • iana
    • ietf
    • rfc-ed
    • sendmail
    • arin.
    • aster
    • webmaster
    • noone
    • nobody
    • nothing
    • anyone
    • someone
    • your
    • you
    • bugs
    • rating
    • site
    • contact
    • soft
    • somebody
    • privacy
    • service
    • help
    • not
    • submit
    • feste
    • gold-certs
    • the.bat
    • page
    • admin
    • icrosoft
    • support
    • ntivi
    • unix
    • bsd
    • linux
    • listserv
    • certific
    • google
    • accoun

      Le ver peut ajouter les préfixes suivants aux noms de domaine afin d'essayer de trouver des serveurs SMTP (Simple Mail Transfer Protocol) :

    • mx.
    • mail.
    • smtp.
    • mx1.
    • mxs.
    • mail1.
    • relay.
    • ns.
    • gate.

  10. Utilise son propre moteur SMTP pour s'expédier aux adresses électroniques trouvées. Le courrier électronique présente les caractéristiques suivantes :

    De : (adresse usurpée)
    L'une des suivantes :

    • john
    • alex
    • michael
    • james
    • mike
    • kevin
    • david
    • george
    • sam
    • andrew
    • jose
    • leo
    • maria
    • jim
    • brian
    • serg
    • mary
    • ray
    • tom
    • peter
    • robert
    • bob
    • jane
    • joe
    • dan
    • dave
    • matt
    • steve
    • smith
    • stan
    • bill
    • bob
    • jack
    • fred
    • ted
    • adam
    • brent
    • alice
    • anna
    • brenda
    • claudia
    • debby
    • helen
    • jerry
    • jimmy
    • julie
    • linda
    • sam

      Le ver peut également usurper une adresse à partir de celles qu'il a trouvées sur l'ordinateur.

      Objet :
      L'un des suivants :

    • Notice: **Last Warning**
    • Your email account access is restricted
    • Your Email Account is Suspended For Security Reasons
    • Notice:***Your email account will be suspended***
    • Security measures
    • Email Account Suspension
    • *IMPORTANT* Please Validate Your Email Account
    • *IMPORTANT* Your Account Has Been Locked

      Message :
      L'un des suivants :

    • Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal.
    • To unblock your email account acces, please see the attachment.
    • Follow the instructions in the attchment.
    • We have suspended some of your email services, to resolve the problem you should read the attached document.
    • To safeguard your email account from possible termination, please see the attached file.
    • please look at attached document.
    • Account Information Are Attached!

      Pièce jointe :
      L'une des suivantes :

    • email-doc
    • info
    • text
    • doc
    • your_details
    • document_full
    • INFO
    • IMPORTANT
    • info-text

      avec l'une des extensions suivantes :

    • .pif
    • .scr
    • .exe
    • .cmd
    • .bat
    • .zip

  11. Termine les processus suivants qui peuvent être liés à la sécurité :

    • regedit.exe
    • msconfig.exe
    • cmd.exe
    • taskmgr.exe
    • netstat.exe
    • zapro.exe
    • navw32.exe
    • navapw32.exe
    • zonealarm.exe
    • wincfg32.exe
    • PandaAVEngine.exe

  12. Bloque l'accès à plusieurs sites Web liés à la sécurité en ajoutant le texte suivant au fichier Hosts :

    127.0.0.1 www.symantec.com
    127.0.0.1 securityresponse.symantec.com
    127.0.0.1 symantec.com
    127.0.0.1 www.sophos.com
    127.0.0.1 sophos.com
    127.0.0.1 www.mcafee.com
    127.0.0.1 mcafee.com
    127.0.0.1 liveupdate.symantecliveupdate.com
    127.0.0.1 www.viruslist.com
    127.0.0.1 viruslist.com
    127.0.0.1 viruslist.com
    127.0.0.1 f-secure.com
    127.0.0.1 www.f-secure.com
    127.0.0.1 kaspersky.com
    127.0.0.1 kaspersky-labs.com
    127.0.0.1 www.avp.com
    127.0.0.1 www.kaspersky.com
    127.0.0.1 avp.com
    127.0.0.1 www.networkassociates.com
    127.0.0.1 networkassociates.com
    127.0.0.1 www.ca.com
    127.0.0.1 ca.com
    127.0.0.1 mast.mcafee.com
    127.0.0.1 my-etrust.com
    127.0.0.1 www.my-etrust.com
    127.0.0.1 download.mcafee.com
    127.0.0.1 dispatch.mcafee.com
    127.0.0.1 secure.nai.com
    127.0.0.1 nai.com
    127.0.0.1 www.nai.com
    127.0.0.1 update.symantec.com
    127.0.0.1 updates.symantec.com
    127.0.0.1 us.mcafee.com
    127.0.0.1 liveupdate.symantec.com
    127.0.0.1 customer.symantec.com
    127.0.0.1 rads.mcafee.com
    127.0.0.1 trendmicro.com
    127.0.0.1 www.trendmicro.com
    127.0.0.1 www.grisoft.com
    127.0.0.1 www.microsoft.com
    -=Copyright (C) 2005-2006 [XXXXX] Team All Rights Reserved.=-


Recommandations

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

Rédigé par : John Canavan

Détecté: May 14, 2005
Mis à jour : February 13, 2007 12:39:15 PM
Egalement appelé : Win32.Mytob.CU [Computer Assoc, Net-Worm.Win32.Mytob.au [Kaspe, W32/Mytob.av@MM [McAfee], W32/Mytob-AZ [Sophos], WORM_MYTOB.EK [Trend Micro]
Type : Worm
Etendue de l'infection : 44 544 octets
Systèmes affectés : Windows


Suppression à l'aide de l'outil de suppression de W32.Mydoom@mm
Symantec Security Response a développé un outil de suppression permettant de nettoyer toutes les infections de W32.Mydoom.BT@mm. Utilisez cet outil de suppression en premier lieu, il constitue le moyen le plus simple pour éliminer cette menace.

Suppression manuelle :
Les instructions suivantes sont valables pour tous les derniers produits antivirus de Symantec, y compris les gammes de produits Symantec AntiVirus et Norton AntiVirus.

  1. Désactiver l'option Restauration du système (Windows Me/XP).
  2. Supprimer les entrées ajoutées au fichier Hosts.
  3. Actualiser les définitions de virus.
  4. Exécuter une analyse complète du système et supprimer tous les fichiers détectés.
  5. Supprimer toutes les valeurs ajoutées au registre.
Pour plus de détails sur chacune de ces étapes, lisez les instructions suivantes.

1. Pour désactiver l'option Restauration du système (Windows Me/XP)
Si vous utilisez Windows Me ou Windows XP, nous vous conseillons de désactiver temporairement la Restauration du système. Windows Me et XP utilisent cette fonctionnalité, activée par défaut afin de pouvoir restaurer des fichiers sur votre ordinateur, s'ils venaient à être endommagés. Si un ordinateur a été infecté par un virus, un ver ou un cheval de Troie, il est possible que ce virus, ver ou cheval de Troie soit sauvegardé par la Restauration du système.

Windows empêche des programmes tiers, y compris les programmes antivirus, de modifier la Restauration du système. Par conséquent, les programmes ou outils antivirus ne peuvent pas éradiquer les menaces dans le dossier de Restauration du système. Par conséquent, la Restauration du système peut restaurer un fichier infecté sur votre ordinateur même après avoir nettoyé les fichiers infectés sur tous les autres emplacements.

Une analyse antivirus peut également détecter une menace dans le dossier de restauration du système même si vous avez supprimé la menace.

Pour savoir comment désactiver la Restauration du système, consultez la documentation de Windows ou l'un des articles suivants :
Remarque :
Lorsque vous avez terminé la procédure de suppression, et que vous pensez que la menace est éliminée, vous devriez réactiver la Restauration du système en suivant les instructions détaillées dans les documents cités ci-dessus.

Pour des informations supplémentaires et une alternative à la désactivation de la Restauration du système Windows Me, consultez l'article de la base de connaissances de Microsoft : Les outils antivirus ne peuvent pas nettoyer les fichiers infectés dans le dossier _Restore , Numéro d'article : Q263455.

2. Pour supprimer toutes les entrées que le risque a ajoutées au fichier Hosts
  1. Accédez à l'emplacement suivant :

    • Windows 95/98/Me :
      %Windir%
    • Windows NT/2000/XP :
      %Windir%\System32\drivers\etc

      Remarques :
    • L'emplacement du fichier Hosts peut changer et quelques ordinateurs peuvent ne pas avoir ce fichier. Il peut également y avoir plusieurs copies de ce fichier dans différents emplacements. Si le fichier ne se trouve pas dans ces dossiers, recherchez le fichier Hosts sur vos disques puis terminez les étapes suivantes pour chaque exemple trouvé.
    • %Windir% est une variable qui indique l'emplacement du dossier d'installation de Windows. Par défaut, il s'agit de C:\Windows (Windows 95/98/Me/XP) ou C:\Winnt (Windows NT/2000).

  2. Cliquez deux fois sur le fichier Hosts.
  3. Au besoin, désélectionnez l'option Toujours utiliser ce programme pour ouvrir ce type de fichier.
  4. Parcourez la liste de programmes et cliquez deux fois sur Bloc-notes.
  5. Quand le fichier s'ouvre, supprimez toutes les entrées supplémentaires ajoutées par la menace. (Consultez la section Détails techniques pour une liste exhaustive des entrées.)
  6. Fermez le bloc-notes et enregistrez vos changements une fois invité.

3. Pour mettre à jour les définitions de virus
Symantec Security Response réalise des tests complets de qualité pour toutes les définitions de virus avant leur publication sur nos serveurs. Il y a deux façons de se procurer les dernières définitions de virus :
  • La méthode la plus simple pour obtenir les dernières définitions de virus est d'exécuter LiveUpdate : Celles-ci sont publiées chaque semaine sur les serveurs LiveUpdate (en principe tous les mercredis) sauf en cas d'attaque virale critique. Pour déterminer si les définitions pour cette menace sont disponibles via LiveUpdate, reportez-vous au document : Virus Definitions (LiveUpdate).
  • L'autre consiste à télécharger les définitions de virus en utilisant Intelligent Updater : Les définitions de virus d'Intelligent Updater sont publiées quotidiennement. Elles doivent être téléchargées sur le site Web de Symantec Security Response puis installées manuellement. Pour déterminer si les définitions pour cette menace sont disponibles via Intelligent Updater, reportez-vous au document : Virus Definitions (Intelligent Updater).

    Les dernières définitions de virus d'Intelligent Updater peuvent être obtenues ici : définitions de virus d'Intelligent Updater. Pour obtenir des instructions détaillées consultez le document : Comment mettre à jour les fichiers de définitions de virus en utilisant Intelligent Updater.

    Remarque : Si vous voyez une erreur, telle que LU1418, quand vous essayez d'exécuter LiveUpdate et vous ne pouvez pas obtenir le site Web hébergeant Intelligent Updater, il est probable que la menace ait modifié le fichier Hosts. Vous pouvez soit télécharger et installer LiveUpdate 2.5, qui peut supprimer des entrées de Symantec à partir de ce fichier, ou vous pouvez le modifier vous-même. Voir les instructions pour ces deux options dans la section Informations complémentaires ci-dessous.

4. Pour analyser et supprimer les fichiers infectés
  1. Démarrez votre programme antivirus Symantec et assurez-vous que ce dernier a été configuré pour analyser tous les fichiers.
  2. Exécuter une analyse complète du système.
  3. Si des fichiers sont détectés, cliquez sur Supprimer.

Important : Si votre produit antivirus Symantec signale qu'il ne peut pas supprimer un fichier détecté, il est possible que ce fichier soit utilisé par Windows. Pour résoudre ce problème, exécutez l'analyse en mode sans échec. Pour des instructions détaillées, consultez le document intitulé : Comment démarrer l'ordinateur en mode sans échec . Si vous avez redémarré l'ordinateur en mode sans échec, exécutez l'analyse une nouvelle fois.

Après avoir supprimé les fichiers, redémarrez l'ordinateur en mode normal et passez à la section suivante.

Des messages d'avertissement peuvent s'afficher lorsque l'ordinateur est redémarré, puisque la menace n'est peut-être pas encore totalement supprimée. Vous pouvez ignorer ces messages et cliquer sur OK. Ces messages ne s'afficheront plus au redémarrage de l'ordinateur lorsque vous aurez appliqué toutes les instructions de suppression. Les messages affichés peuvent ressembler au message suivant :

Objet : [Chemin du fichier]
Corps du message : Windows cannot find [nom du fichier]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.


5. Pour supprimer la valeur du registre
Important : Nous vous recommandons vivement d’effectuer une sauvegarde du registre avant d’y apporter des modifications. Une modification incorrecte du registre peut provoquer la perte définitive de données ou la corruption de fichiers. Ne modifiez que les sous-clés indiquées. Pour des instructions détaillées, reportez-vous au document : Comment faire une copie de sauvegarde du Registre de Windows.
  1. Cliquez sur Démarrer > Exécuter.
  2. Tapez regedit
  3. Cliquez sur OK.

    Remarque : Si l'Editeur du Registre ne s'ouvre pas, la menace a pu modifier le registre pour en empêcher l'accès. Security Response a développé un outil permettant de résoudre ce problème. Téléchargez et exécutez cet outil, puis poursuivez la suppression.

  4. Accédez aux sous-clés :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    RunServices

  5. Dans le volet droit, supprimez la valeur :

    "[Lien vers un site Web sur le domaine www.lienvandekelder.be]" = "LienVandeKelder.exe"

  6. Accédez à la sous-clé :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess

  7. Dans le volet droit, supprimez la valeur :

    "Start" = "4"

  8. Quittez l’Editeur du Registre.


Rédigé par : John Canavan