Nom: Win32.MyDoom.S
Alias: I-Worm.Mydoom.q (KAV), W32.Mydoom.Q@mm (NAV)
Type: Ver de mail
Taille: 27136 (zippé with UPX).
Découvert: 16 août 2004
Détecté: 16 août 2004
Propagation: moyenne
Dommage: moyen
ITW: oui
Symptômes:Presence du fichier "winpsd.exe" dans le répertoire %system% (par exemple C:\Windows\System32). Présence de cet exécutable dans les process, et présence de la clé de registre de démarrage "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" à la clé "winpsd".
Presence de l'exécutable "rasor38a.dll" dans les répertoires %windir% (par exemple C:\Windows), qui est une copie du vers.
Description technique:Il se diffuse par l'intermédiaire des emails avec en pièce jointe l'exécutable "photos_arc.exe"; le sujet du email est "photos"; le corps de l'email est "LOL!
)))"
Il évite de s'envoyer à certaines adresses mail contenant certaines sous-chaînes
Il s'installe en tant que "winvpn32.exe" et exécute les adresses suivantes:
http://www.xxxxxxxxxx.com/ispy.1.jpg ,
http://www.xxxxxxxxxx.com/coco3.jpg ,
http://www.xxxxxxxxxx.com/guestbook/temp/temp587.gif ,
http://xxxxxxxxxxx.com/guestbook/temp/temp728.gif Le fichier téléchargé est Backdoor.Surila, un composant avec des capacités particulières qui lui donnent la possibilité d'être plus prioritaires par rapport aux autres processus.
Si le composant d'arrière plan est téléchargé avec succès, la clef de registre "HKCU\SOFTWARE\Microsoft\Internet Explorer\InstaledFlashhMX" est ajoutée et mise à "1"
Il vérifie le mutex "43jfds93872" afin d'éviter les copies de lui-même.
Il se copie dans "%system%\winpsd.exe" et "%windows%\rasor3å.dll"
IL ajoute la clef de registre de démarrage "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" avec l'enregistrement "winpsd" qui se dirige vers "%system%\winpsd.exe".
Désinfection Manuelle: Pour prévenir la propagation du virus entre les ordinateurs en réseau, vous devriez soit désinfecter tous les ordinateurs en réseau avant de redémarrer, soit décrocher les câbles réseau. IMPORTANT : l'utilitaire de désinfection doit être utilisé en mode sans échec pour détruire tous les composants.
Désinfection: Voir la page
des utilitaires de désinfection. Voir le dossier inoculer.com sur les
virus.
Si vous êtes infecté, suivez la
procédure de désinfection. Source : inoculer.com