Win32.MyDoom.F@mm
| Propagation : | high | |
| Dégât : | high | |
| Size: | 26000 + max. 8096 bytes | |
| Détecté : | 2004 Feb 21 |
SYMPTOMS:
- The registry key HKLM/HKCU_\Software\Microsoft\Windows\CurrentVersion\Shell;- Activity on port 1080.
TECHNICAL DESCRIPTION:
This mass-mailer was written in Visual C++ 7 and packed with UPX 1.24.It arrives in an email in the following format:
From: [forged email address]
Subject: with a 8% chance the subject line consists of 3 to 17 random letters; otherwise (92% chance) it is one of the following:
test
hi
hello
Returned Mail
Confirmation Required
Confirmation
Registration Confirmation
please reply
please read
Read this message
Readme
Important
Your account has expired
Expired account
Notification
automatic responder
automatic notification
You have 1 day left
Warning
Information
For your information
For you
Something for you
Read it immediately
Read this
Read it immediately!
Your credit card
Schedule
Accident
Attention
stolen
news
recent news
Wanted
fake
unknown
bug
forget
read now!
Current Status
Your request is being processed
Your order is being processed
Your request was registered
Your order was registered
Re: (censored)
Undeliverable message
Love is...
Love is
Your account is about to be expired
Your IP was logged
You use illegal file sharing...
Thank You very much
hi, it's me
Approved
Re: Approved
Details
Re: Details
Thank you
Re: Thank you
Announcement
(sometimes - 60% chance - the first letter of the above texts is capitalized; or - 10% chance - the entire subject line is capitalized).
Body: One of the following:
test
Details are in the attached document. You need Microsoft Office to open it.
See the attached file for details
Please see the attached file for details
The document was sent in compressed format.
Check the attached document.
Everything ok?
OK
Okay
I\'m waiting
Read the details.
Here is the document.
I wait for your reply.
Is that from you?
Is that yours?
You are a bad writer
I have your password :)
Something about you
Kill the writer of this document!
We have received this document from your e-mail.
Here it is
See you
Greetings
Information about you
Please, reply
Reply
Take it
You are bad
Attachment: One of the following:
- [name].exe file (13% chance);
- [name].zip file (34.8% chance);
- [name].{txt, doc, htm, rtf, xls, jpg, gif, png}[40 to 159 spaces].{pif, scr, exe} (52.2% chance).
In 12% of cases, [name] is made up of 3 to 7 random characters; in the other 88% of cases, it is one of the following:
msg
doc
document
readme
text
file
data
test
message
body
details
creditcard
attachment
stuff
me
post
posting
textfile
info
information
note
notes
product
bill
check
ps
money
about
story
list
joke
jokes
friend
site
website
object
mail2
part1
part4
part2
part3
misc
disc
paypal
approved
details
your_document
image
resume
photo
When first run, it creates HKLM/HKCU_ \Software\Microsoft\Windows\CurrentVersion\Shell; this will be checked to see if the virus is already installed; a thread is created; in 70% of cases, this thread displays one of the following messages:
File is corrupted.
File cannot be opened.
Unable to open specified file.
In the other 30% of cases, it creates a temporary file named "Mail", "Body", "Text" or "Data", fills it with random rows of text and opens it with Notepad; when the user closes Notepad, the temporary file is deleted.
A mutex called "jmydoat[computer name]mtx" is used to avoid running multiple copies of the virus.
It drops and executes a DLL with a name of 4 to 8 random letters in the system folder (or in the folder for temporary files). This DLL has the following functionality:
- on Win9x systems, calls the RegisterServiceProcess function to hide the process;
- opens a backdoor server on port 1080; a connecting user can send an executable file that the backdoor will save and run; she can also order the infected machine to connect to a specified host and port and await commands on that connection;
- terminates processes that contain the following substrings in the name: "reged", "taskmo", "taskmg", "avp.", "avp32", "norton", "navapw", "navw3", "intrena", "mcafe".
The virus copies itself in the system folder (or the temporary folder) with a name of 4 to 13 random letters (with ".exe" extension); it appends a maximum of 8096 random bytes at the end of the file (offset 26000) so that the copy is not identical to the original version. An entry with a random name of 4 to 8 letters in the HKLM/HKCU\Software\Microsoft\Windows\CurrentVersion\Run key is created and pointed to the copy of the virus in the system/temp folder; this way, the virus will be run at start-up.
If the day of the month is between 17 and 22 and the computer is connected to the Internet, the virus creates a thread that will flood www.riaa.com (or riaa.com) in 33% of cases or www.microsoft.com (or microsoft.com) in 67% of cases. 64 threads are used to connect to the flooded website; after the main thread ends the connection with the flooded site, it waits for 1 minute and then loops (recreates 63 more connecting threads and reconnects itself).
The virus manages a list of email addresses that are gathered from the user's files; a thread monitors this list and sends email to the addresses in the lists, while the main thread adds addresses to the list by scanning the files.
The following files and folders are scanned:
- file c:\init;
- Windows Address Book (WAB);
- Temporary Internet Files folder (5 levels of depth);
- fixed drives and ramdisks (15 levels of depth);
- all drives (5 levels of depth).
The following files are scanned for email addresses: files matching the masks: *., *.htm*, *.sht*, *.php*, *.asp* , *.dbx*, *.adb*, *.eml*, *.pl, *.msg*, *.vbs*, *.mht*, *.uin*, *.rtf*, *.ods*, *.mmf*, *.ncx*, *.mbx* with a maximum size of 204800 bytes; files *.txt with a maximum size of 81920 bytes; files *.tbb* files (The Bat! email archives) with a maximum size of 1228800 bytes; *.wab* files (Windows Address Book files) with a maximum size of 8388608 bytes; files matching the mask *inbox*.
Email addresses containing the following substrings will be avoided: avp, syma, icrosof, msn., hotmail, panda, sopho, borlan, inpris, example, mydoma, nodoma, ruslis, .gov, gov., .mil, foo., suppo, essagela, nai.co, isi.e, isc.o, secur, .acketst, pgp, ibm.com, google, kernel, linux, fido, usenet, sourcef, slashdot, sun.com, sgi.com, solaris, irix, iana, ietf, rfc-ed, sendmail, arin., ripe., berkeley, unix, math, bsd, mit.e, gnu, fsf., tanford.e, utgers.ed, mozilla, spam, admin, support, ntivi, listserv, certific, accoun, contact, master; email addresses beginning with spm, www, secur, abus, root, info, samples, noone, nobody, nothing, anyone, someone, your, you, me, bugs, rating, site no, somebody, privacy, service, help, not, submit, feste, ca, gold-certs, the.bat will also be avoided.
Files matching the following masks have a chance of being deleted when found: *.mdb* (98% chance), *.doc* (40%), *.xls* (60%), *.sav* (95%), *.jpg* (89%), *.avi* (10%), *.bmp* (15%).
In 40% of cases, or if the pathname of the folder that is scanned contains "shar" or "startup", or if it contains "start" and with a chance of 20%, the virus creates a zipped (75% chance) or plain (25% chance) copy of itself in that folder; the name of the copy contains 4 to 13 random letters and the ".zip" or ".exe" extension.
The virus will wait for approx. 32 seconds before restarting the scanning sequence.
The thread that sends email checks to see if the machine is connected to the Internet; it makes sure the list of target email addresses doesn't exceed 4096 entries; if there are more than 3 entries in the list, after 12 seconds of inactivity it will add a random email address to the list: {john, alex, james, sam, jim, smith, bill, jerry}@[domain of another address in the list].
The virus uses internal SMTP functions to send emails. It attempts to DNS-resolve the domain-part of the email address and use that host as an SMTP server; if it fails, it uses the user's configured SMTP server.
The thread that sends emails will pick a random entry in the list of target addresses, compose an email in the format described above and send it; another entry in the addresses list (or the address [3 to 5 random letters]@{aol.com, msn.com, yahoo.com, hotmail.com}, in 18% of cases) is used to forge the sender's address.
Removal instructions:
Automatic RemovalLet BitDefender delete infected files.
ANALYZED BY:
Bogdan Dragu BitDefender Virus Researchere-Guides de Bitdefender
La série des e-Guides Bitdefender est une initiative didactique qui vise à fournir à la communauté des lecteurs et utilisateurs de Bitdefender des informations utiles sur les e-menaces et les problèmes de sécurité de l’univers informatique, tout en leur offrant également des conseils pratiques et des solutions viables répondant à leurs besoins de protection en ligne. Les analystes sécurité de Bitdefender partagent leurs connaissances sur la prévention, l’identification et la suppression des malwares, et en particulier sur la question de la vie privée en ligne et les différentes technologies, les défenses, et les méthodes de prévention contre la cybercriminalité.
Couvrant des sujets allant de la protection en ligne des enfants et de leur famille à la sécurisation des environnements professionnels, en passant par la sécurité sur les réseaux sociaux et à la prévention des pertes de données, la série des e-Guides s’adresse à une audience large de petites organisations et d’utilisateurs individuels préoccupés par la sécurité et la protection de leurs réseaux et de leurs systèmes. Les e-Guides traitent également des problèmes relatifs à l’activité quotidienne des responsables de la sécurité des systèmes informatiques, des administrateurs systèmes et réseaux, des développeurs de technologies de sécurité, des analystes et des chercheurs.
Comment bloguer en toute sécurité
Trucs et astuces sur comment sécuriser votre blog et votre identité
Le blog est un des moyens les plus populaires d’expression écrite sur le web, avec plus de 150 millions de blogs répertoriés dans le monde. Alors que des lecteurs réguliers cherchent des informations et articles, les escrocs y trouvent un intérêt tout différent. Ils sont à la recherche d’informations privées et d’espace de stockage à moindre coût pour leurs attaques. Ce ne sont que 2 exemples parmi tant d’autres d’intérêt pour les cyber-pirates.
Ce guide couvre les grandes lignes du « blogging » en toute sécurité et se concentre sur les blogs personnels, qu’ils soient eux-mêmes hébergés ou via des fournisseurs spécialisés.
Guide de sécurisation des réseaux sans fils
Trucs et astuces sur comment protéger votre réseau personnel des intrusions
Ce guide vous expliquera les meilleures pratiques quand on utilise des réseaux sans fil, mais aussi à configurer efficacement votre routeur ou point d’accès, pour prévenir de toute intrusion.
Ce document vise les utilisateurs d’ordinateurs qui ont déployé ou prévoient de déployer un réseau sans fil à la maison. Actuellement les moyens de communication sans fil deviennent de plus en plus importants dans nos vies, et les cybercriminels tentent d’exploiter toutes les failles de sécurité dans nos réseaux sans fil, afin d’intercepter le trafic et des informations ou utiliser notre connexion internet à des fins illégales.
Guide de protection des enfants en ligne
Comment sécuriser et protéger les activités numériques de vos enfants
Ce document est destiné aux familles, parents et enseignants, et son but est d’aider à sécuriser les activités numériques des enfants et adolescents. A une époque où la production de masse et l’accessibilité des ordinateurs ont répandu l’usage domestique de ces matériels, les enfants sont familiarisés avec les ordinateurs et Internet à un âge très précoce. En dépit des avantages indéniables qu’il présente en termes de communication, le Web peut aussi être un lieu dangereux, où des menaces visent directement leur classe d’âge et leurs ordinateurs, à la maison comme en classe.
Cet e-Guide traite des principaux risques et dangers auxquels sont exposés les enfants sur Internet : cyber-agression, exposition à des contenus déplacés, dépendance au web, et autres activités nocives, tout en mettant également l’accent sur des sujets comme le malware, le phishing, le vol d’identité et le spam, auxquels les adolescents, exactement comme les autres utilisateurs d’Internet, sont exposés aujourd’hui. La section Conseils de sécurité est destinée à aider parents et enseignants à mieux comprendre et faire face à ces problèmes concernant les enfants.
Guide de sécurité en ligne pour les internautes aux tempes grisonnantes
Comment protéger la propriété intellectuelle et financière des cyber-pirates
Ce document est destiné aux familles et aux seniors et son but est de les aider à naviguer sur le web en toute sécurité et à bien profiter de leurs activités en ligne.
Au premier abord, on pourrait avoir tendance à penser que les seniors sont exposés au cybercrime comme n’importe quels autres utilisateurs inexpérimentés d’Internet, quel que soit leur âge. Cependant, comme cet e-Guide le montre à travers plusieurs études de cas, les internautes aux tempes grisonnantes sont la cible de dangers spécifiques, concernant par exemple le paiement de leur pension, de fallacieuses méthodes de paiement des impôts ou des escroqueries financières. Des exemples, des astuces et des conseils complètent les situations décrites et fournissent aux lecteurs des recommandations utiles pour l’exercice de leurs occupations quotidiennes en ligne.
Guide de prévention de l’accès non autorisé aux données
Comment protéger la propriété intellectuelle et financière des cyber-pirates
Cet e-guide a été conçu pour répertorier les nombreux points sensibles de la sécurité des données de l’entreprise, de l’intégrité physique d’un réseau jusqu’aux mécanismes complexes du cybercrime qui prend les entreprises pour cible (chevaux de Troie visant les données bancaires, phishing, par exemple). Ces informations ont également pour objectif d’expliquer – bien que d’une manière moins détaillée que dans une documentation technique complète – en quoi les caractéristiques des différentes solutions Bitdefender pour particuliers et entreprises peuvent intéresser les administrateurs informatiques.
La consultation de ce document peut se révéler utile dans une démarche visant à décider de la meilleure solution de sécurité pour des réseaux de taille réduite ou moyenne. Son contenu constitue également une base solide pour des recherches comparatives ultérieures sur ce sujet.
Livres Blancs
- Livre Blanc Facebook
- Technologie antivirus de Bitdefender
- B-HAVE, la route vers le succès (.pdf)
- Le véhicule ou le message ? Comment faire face au spam image, décembre 2006,Bulletin d’information sur les virus
- Lutter contre le Spam Image
- Technologie antispam NeuNet de Bitdefender
- Proactive security I body armor against business attacks
- Livre blanc des menaces émergentes contre la sécurité des entreprises
- Sécurisation contre l’inconnu - Technologie proactive B-HAVE de défense contre les menaces polyvalentes
- Sécurisation de e-mail - La première ligne de défense stratégique
- Nomenclature des virus. Le dilemme du « Qui est qui ? » (en anglais)
- Facebook РUne autre br̬che dans le mur
- Bitdefender Active Virus Control : protection proactive contre les menaces nouvelles et en germe
Rapports Bitdefender sur l'état des e-menaces
L’objectif de ce rapport est de fournir les résultats d'une enquête détaillée sur les menaces informatiques actuelles. Les experts en sécurité de Bitdefender® ont analysé et examiné en détail les menaces de chaque semestre, en se concentrant sur les vulnérabilités et exploits des logiciels, les différents types de malwares, mais aussi sur les mesures prises pour les combattre, la prévention contre le cybercrime, et l’application des lois. Ce rapport sur les e-menaces est principalement axé sur les dernières tendances, mais contient aussi des faits et données concernant les périodes d’investigation précédentes, ainsi que quelques prévisions concernant les prochains semestres. Ce document est surtout destiné aux responsables de la sécurité des systèmes d'information, aux administrateurs réseaux, aux développeurs de technologies de sécurité, aux analystes et chercheurs, mais il aborde également des problèmes intéressant une audience plus large, comme les petites entreprises et les particuliers soucieux de la sécurité et de l’intégrité de leurs réseaux et systèmes.
Télécharger Rapport sur les e-menaces au 2nd semestre 2011 (pdf)
Télécharger maintenant le résumé Résumé du rapport sur les e-menaces au second semestre 2011 (pdf)
Archive
2011
Télécharger Résumé du rapport sur les e-menaces au 1er semestre 2011 (pdf)
2010
Télécharger Résumé du rapport sur les e-menaces au 2ème semestre 2010 (pdf)
Télécharger Rapport sur les e-menaces au 2ème semestre 2010 (pdf)
Télécharger Résumé du rapport sur les e-menaces au 1er semestre 2010 (pdf)
Télécharger Rapport sur les e-menaces au 1er semestre 2010 (pdf)
2009
Télécharger Résumé du rapport sur le malware et le spam au 1er semestre 2009 (pdf)
Télécharger Rapport sur les e-menaces au 1er semestre 2009 (pdf)
Télécharger Rapport sur le malware et le spam au 2ème semestre 2009 (pdf)
Télécharger Résumé du rapport sur les e-menaces au 2ème semestre 2009 (pdf)
2008
Télécharger Rapport sur les e-menaces au 1er semestre 2008 (pdf)
Télécharger Rapport sur les e-menaces au 2ème semestre 2008 (pdf)
A qui s’adresser ? Vous trouverez ci-dessous la liste de tous nos porte-parole prêts à répondre à chacune de vos questions.
Responsable des relations publiques internationales
Coordinateur des relations publiques internationales
Asie- Pacifique & Amérique du Nord
Coordinateur des relations publiques internationales
Amérique latine & CEMEA (Europe centrale, Moyen-Orient et Afrique)
France, Benelux, Suisse