K-OTik : Alerte - Mydoom.M se propage rapidement et ralenti Google

Alerte - Mydoom.M se propage et ralenti plusieurs moteurs de recherche

Par K-OTik Security © (Cellule Anti-Virus) - Une nouvelle variante du ver Mydoom se propage via email. Une fois Mydoom.M (Mydoom.O) installé, il effectue des recherches automatiques sur plusieurs moteurs web (Google, Lycos, Yahoo ...) afin de trouver de nouvelles adresses emails vers lesquelles il tente de se dupliquer, ce qui a provoqué un léger ralentissement de ces moteurs aux Etats-Unis, en France et en Grande-Bretagne.

Update : Après une période d'activité intense de plus de onze heures, Mydomm.M s'essouffle progressivement. Les statistiques de captures révèlent une propagation deux fois moins rapide que la version A (de Janvier 2004).

Les ports 1034/TCP ouverts par la backdoor Zincite.A (installée avec Mydoom.M), sont actuellement exploités comme vecteurs/porte de propagation pour le nouveau ver "W32.Zindos.A" dont le but est de lancer une attaque DDoS contre le site web Microsoft.com [Le ver utilise l'API Windows URLDownloadToCacheFile pour se connecter au site Microsoft, il efface ensuite le cache puis répète ces deux actions chaque 50 millisecondes].

Analyse Technique :

Mydoom.M se propage sous la forme d'un message dont le titre/corps sont aléatoires, avec un fichier attaché ayant une extension cmd, bat, com, exe, pif, scr ou zip.

Lorsque W32.Mydoom.M@mm s'exécute, il réalise les opérations suivantes :

Il se copie sous :

%Windir%\java.exe

%Windir%\services.exe

Ajoute les valeurs :

"Services" = "%Windir%\services.exe"
"JavaVM" = "%Windir%\java.exe"

au registre :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Installe une backdoor (zincite) sur le port 1034/TCP et crée les fichiers suivants (pour l'enregistrement des logs) :

%Temp%\zincite.log

%Temp%\[Nom_aléatoire].log

Collecte les emails présents sur les fichiers :

.doc

.txt

.htm

.html

Essaye de collecter de nouvelles adresses emails via les moteurs suivants :

search.lycos.com

search.

www.altavista.com

L'email a les caractéristiques suivantes :

De :

Sujet:

say helo to my litl friend

click me baby, one more time

hello

error

status

test

report

delivery failed

Message could not be delivered

Mail System Error - Returned Mail

Delivery reports about your e-mail

Returned mail: see transcript for details

Returned mail: Data format error

Message : Variable

Dear user {|of },{ {{M|m}ail {system|server} administrator|administration} of would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
{We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
{We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
{Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
{{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
{ {user |technical |}support team.|The {support |}team.}

{The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
Your message {was not|could not be} delivered because the destination {computer|server} was
{not |un}reachable within the allowed queue period. The amount of time
a message is queued before it is returned depends on local configura-
tion parameters.
Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.

Your message {was not|could not be} delivered within days:
{{{Mail s|S}erver}|Host} } is not responding.
The following recipients {did|could} not receive this message:
>
Please reply to postmaster@{|}
if you feel this message to be in error.
The original message was received at [current time]{
| }from { ]|{]|]}}
----- The following addresses had permanent fatal errors -----
{>|}
{----- Transcript of {the ||}session follows -----
... while talking to {host |{mail |}server ||||}{.|]}:
{>>> MAIL F{rom|ROM}:[From address of mail]
>... {Mail quota exceeded|Message is too
large}
554 >... Service unavailable|550 5.1.2 >... Host unknown (Name server: host not found)|554 {5.0.0 |}Service unavailable; ] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}
Session aborted{, reason: lost connection|}|>>> RCPT To:>
>... {User unknown|Invalid recipient|Not known here}}|>>> DATA
{ |}{ |}{ |}
Fichier joint :
readme
instruction
transcript
mail
letter
file
text
attachment
document
message

Avec une extension:
cmd
bat
com
exe
pif
scr
zip

Le ver evite de se propager vers des emails contenant les chaînes :
mailer-d
spam
abuse
master
sample
accou
privacycertific
bugs
listserv
submit
ntivi
support
admin
page
the.bat
gold-certs
feste
not
help
foo
soft
site
rating
you
your
someone
anyone
nothing
nobody
noone
info
winrar
winzip
rarsoft
sf.net
sourceforge
ripe.
arin.
google
gnu.
gmail
seclist
secur
bar.
foo.com
trend
update
uslis
domain
example
sophos
yahoo
spersk
panda
hotmail
msn.
msdn.
microsoft
sarc.
syma
avp

Outil de désinfection Anti-Mydoom

Changelog :
26 Juillet 2004 (22h12) : Version Initiale
27 Juillet 2004 (13h23) : Baisse du nombre d'infections
27 Juillet 2004 (16h45) : W32.Zindos.A

Source : K-OTik Security (Cellule Anti-Virus) / Symantec