Forte
Récapitulatif
Récapitulatif
Action- Plus d'informations
| Comment il se propage |
|
|---|---|
| Systèmes d'exploitation affectés | Windows |
| Protection disponible depuis | 17 mai 2005 10:45:48 (GMT) |
| Détecté par | Tous les produits Sophos |
Détection des virus gratuite
- Détection gratuite des virus et spywares
- Vérification de votre protection antivirus actuelle
- Votre antivirus est-il vraiment efficace ?
Action
- Récapitulatif
- Action
- Plus d'informations
Veuillez suivre les instructions de suppression des vers.
Plus d'informations
- Récapitulatif
- Action
- Plus d'informations
W32/Mytob-CJ est un membre de la famille W32/Mytob de vers de messagerie.
Une fois installé, W32/Mytob-CJ tente d’ouvrir une session sur les serveurs IRC distants et d’ouvrir une porte dérobée pour permettre l’exécution des commandes distantes. W32/Mytob-CJ tente aussi de télécharger des fichiers depuis un site Web distant et de les exécuter.
W32/Mytob-CJ met aussi un terme aux processus antivirus et de système.
W32/Mytob-CJ modifie par ailleurs le fichier HOSTS pour refuser l’accès aux sites Web antivirus et de sécurité.
W32/Mytob-CJ collecte des adresses électroniques et des informations relatives au serveur depuis le carnet d’adresses Windows et dans le Gestionnaire de comptes Microsoft Internet. Les courriels envoyés par W32/Mytob-CJ ont les caractéristiques suivantes :
objet choisi parmi les suivants :
'Notice: **Last Warning**'
'Your email account access is restricted'
'Your Email Account is Suspended For Security Reasons'
'Notice:***Your email account will be suspended***'
'Security measures'
'Email Account Suspension'
'*IMPORTANT* Please Validate Your Email Account'
'*IMPORTANT* Your Account Has Been Locked'
'*WARNING* Your Email Account Will Be Closed'
<caractères aléatoires>
Corps du message choisi parmi les suivants :
'Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal.'
'To unblock your email account acces, please see the attachment.'
'Follow the instructions in the attachment.'
'We have suspended some of your email services, to resolve the problem you should read the attached document.'
'To safeguard your email account from possible termination, please see the attached file.'
'please look at attached document.'
'Account Information Are Attached!'
<caractères aléatoires>
Nom de fichiers joints choisis parmi les suivants :
email-info email-text email-doc information your_details document_full INFO IMPORTANT info-text <caractères aléatoires>
Le fichier joint est constitué de l’un des noms de base mentionnés ci-dessus suivi des extensions PIF, SCR, EXE, CMD, BAT ou ZIP. Le ver peut optionnellement créer des doubles extensions où la première extension est DOC, TXT ou HTM et la seconde est PIF, SCR, EXE, CMD, BAT ou ZIP.
Les produits antivirus de Sophos sont dotés d'une technologie de détection Genotype ™ qui, sans qu'aucune mise à jour ne soit nécessaire, permet de se défendre contre les nouvelles menaces. Les clients Sophos sont protégés contre W32/Mytob-CJ (détecté sous le nom de W32/MyDoom-Gen) depuis la version 3.92. W32/Mytob-CJ est un membre de la famille W32/Mytob de vers de messagerie.
Pour se lancer automatiquement, W32/Mytob-CJ se copie dans le fichier sky.exe.exe présent dans le dossier système Windows et crée, pour s’exécuter à l’ouverture de session, les entrées suivantes :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run WINDOWS SKY sky.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices WINDOWS SKY sky.exe
Le ver change aussi, dans le registre, l’entrée suivante de sa valeur Windows par défaut :
de : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000003
en : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004
W32/Mytob-CJ collecte des adresses électroniques et des informations relatives au serveur depuis le carnet d’adresses Windows et dans le Gestionnaire de comptes Microsoft Internet. Les courriels envoyés par W32/Mytob-CJ ont les caractéristiques suivantes :
objet choisi parmi les suivants :
'Notice: **Last Warning**'
'Your email account access is restricted'
'Your Email Account is Suspended For Security Reasons'
'Notice:***Your email account will be suspended***'
'Security measures'
'Email Account Suspension'
'*IMPORTANT* Please Validate Your Email Account'
'*IMPORTANT* Your Account Has Been Locked'
'*WARNING* Your Email Account Will Be Closed'
<caractères aléatoires>
Corps du message choisi parmi les suivants :
'Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal.'
'To unblock your email account acces, please see the attachment.'
'Follow the instructions in the attachment.'
'We have suspended some of your email services, to resolve the problem you should read the attached document.'
'To safeguard your email account from possible termination, please see the attached file.'
'please look at attached document.'
'Account Information Are Attached!'
<caractères aléatoires>
Nom de fichiers joints choisis parmi les suivants :
email-info email-text email-doc information your_details document_full INFO IMPORTANT info-text <caractères aléatoires>
Le fichier joint est constitué de l’un des noms de base mentionnés ci-dessus suivi des extensions PIF, SCR, EXE, CMD, BAT ou ZIP. Le ver peut optionnellement créer des doubles extensions où la première extension est DOC, TXT ou HTM et la seconde est PIF, SCR, EXE, CMD, BAT ou ZIP.
W32/Mytob-CJ met aussi un terme aux processus antivirus et de système.
W32/Mytob-CJ ajoute par ailleurs les réorientations suivantes dans le fichier HOSTS pour refuser l’accès aux sites Web antivirus et de sécurité :
127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.grisoft.com 127.0.0.1 www.microsoft.com 127.0.0.1 www.virustotal.com 127.0.0.1 virustotal.com
Une fois installé, W32/Mytob-CJ tente d’ouvrir une session sur les serveurs IRC distants et d’ouvrir une porte dérobée pour permettre l’exécution des commandes distantes. W32/Mytob-CJ tente aussi de télécharger des fichiers depuis un site Web distant et de les exécuter.
Les produits antivirus de Sophos sont dotés d'une technologie de détection Genotype ™ qui, sans qu'aucune mise à jour ne soit nécessaire, permet de se défendre contre les nouvelles menaces. Les clients Sophos sont protégés contre W32/Mytob-CJ (détecté sous le nom de W32/MyDoom-Gen) depuis la version 3.92.
|
