[virus] MyDoom

Phos d'Ys · 28/01/2004, 19h15

Citation :

Provient du message de Soroya
Je sais pas, ça va peut créer une sorte de mega mail bombing sur ce site, le premier février, toutes les personnes infectées vont balancer involontairement un ou plusieurs mails à ce site, et vu le nombre de gens infectés, ça va faire mal.

Enfin, y a 95% de chances que je raconte n'importe quoi et je pose donc aussi la même question: keskifaihàmonpécélevirus ?

Voici ce qu'en dit mon antivirus :

Citation :

Virus Information
Discovery Date: 01/26/2004
Origin: Unknown
Length: 22,528 bytes
Type: Virus
SubType: E-mail
Minimum DAT:
Release Date: 4319
01/26/2004
Minimum Engine: 4.2.40
Description Added: 01/26/2004
Description Modified: 01/27/2004 9:15 PM (PT)
Description Menu
Virus Characteristics
Symptoms
Method Of Infection
Removal Instructions
Variants / Aliases
Rate This page
Print This Page
Email This Page
Legend

Virus Characteristics:
This is a mass-mailing and peer-to-peer file-sharing worm that bears the following characteristics:

contains its own SMTP engine to construct outgoing messages
contains a backdoor component (see below)
contains a Denial of Service payload
If you think that you may be infected with Mydoom, and are unsure how to check your system, you may download the Stinger tool to scan your system and remove the virus if present. This is not required for McAfee users as McAfee products are capable of detecting and removing the virus with the latest update. (see the removal instructions below for more information).
Note: Receiving an email alert stating that the virus came from your email address is not an indication that you are infected as the virus often forges the from address.

The virus arrives in an email message as follows:

From: (Spoofed email sender)
Do not assume that the sender address is an indication that the sender is infected. Additionally you may receive alert messages from a mail server that you are infected, which may not be the case.

Subject: (Varies, such as)

Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
hi
Body: (Varies, such as)

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
Attachment: (varies [.bat, .exe, .pif, .cmd, .scr] - often arrives in a ZIP archive) (22,528 bytes)

examples (common names, but can be random)
doc.bat
document.zip
message.zip
readme.zip
text.pif
hello.cmd
body.scr
test.htm.pif
data.txt.exe
file.scr
In the case of two file extensions, multiple spaces may be inserted as well, for example:

document.htm (many spaces) .pif
The icon used by the file tries to make it appear as if the attachment is a text file:

When this file is run (manually), it copies itself to the WINDOWS SYSTEM directory as taskmon.exe

%SysDir%\taskmon.exe
(Where %Sysdir% is the Windows System directory, for example C:\WINDOWS\SYSTEM)

It creates the following registry entry to hook Windows startup:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe
The virus uses a DLL that it creates in the Windows System directory:

%SysDir%\shimgapi.dll (4,096 bytes)
This DLL is injected into the EXPLORER.EXE upon reboot via this registry key:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll
The virus will not replicate on the 12th February or later (although the DLL will still be installed).

Peer To Peer Propagation
The worm copies itself to the KaZaa Shared Directory with the following filenames:

nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
activation_crack
icq2004-final
winamp
Remote Access Component
The worm (this functionality is in the dropped DLL) opens a connection on TCP port 3127 (if that fails it opens next available port up to port 3198). The worm can accept specially crafted TCP transmissions.

On receipt of one kind of such a transmission it will save the embedded binary into a temporary file and execute it. Then the temporary file is deleted.
On receipt of another kind it can relay TCP packets thus providing IP spoofing capabilities (possibly to facilitate SPAM distribution)
Denial of Service Payload
On the first system startup on February 1st or later, the worm changes its behavior from mass mailing to initiating a denial of service attack against the sco.com domain. This denial of service attack will stop on the first system startup of February 12th or later, and thereafter the worm's only behavior is to continue listening on TCP port 3127.

Top of Page

Symptoms
Upon executing the virus, Notepad is opened, filled with nonsense characters.

Existence of the files and registry entry listed above

Top of Page

Method Of Infection
This worm tries to spread via email and by copying itself to the shared directory for Kazaa clients if they are present.

The mailing component harvests address from the local system. Files with the following extensions are targeted:

wab
adb
tbb
dbx
asp
php
sht
htm
txt
pl
The worm avoids certain address, those using the following strings:

.gov
.mil
abuse
acketst
arin.
avp
berkeley
borlan
bsd
example
fido
foo.
fsf.
gnu
google
gov.
hotmail
iana
ibm.com
icrosof
ietf
inpris
isc.o
isi.e
kernel
linux
math
mit.e
mozilla
msn.
mydomai
nodomai
panda
pgp
rfc-ed
ripe.
ruslis
secur
sendmail
sopho
syma
tanford.e
unix
usenet
utgers.ed
Additionally, the worm contains strings, which it uses to randomly generate, or guess, email addresses. These are prepended as user names to harvested domain names:

sandra
linda
julie
jimmy
jerry
helen
debby
claudia
brenda
anna
alice
brent
adam
ted
fred
jack
bill
stan
smith
steve
matt
dave
dan
joe
jane
bob
robert
peter
tom
ray
mary
serg
brian
jim
maria
leo
jose
andrew
sam
george
david
kevin
mike
james
michael
john
alex
Finally the virus sends itself via SMTP - constructing messages using its own SMTP engine. The worm guesses the recipient email server, prepending the target domain name with the following strings:

mx.
mail.
smtp.
mx1.
mxs.
mail1.
relay.
ns.

Top of Page

Removal Instructions
All Users :
Use specified engine and DAT files for detection and removal.

The shimgapi.dll file is injected into the EXPLORER.EXE process if the system has been rebooted after the infection has occured. In this situation, a reboot and rescan is required to remove this DLL from the system.

Alternatively, following EXTRA.DAT packages are available.

EXTRA.DAT
SUPER EXTRA.DAT
Modifications made to the system Registry and/or INI files for the purposes of hooking system startup will be successfully removed if cleaning with the recommended engine and DAT combination (or higher).

Additional Windows ME/XP removal considerations

Stinger
Stinger 1.9.8 has been made available to assist in detecting and repairing this threat. A reboot is not required after running Stinger v 1.9.8.

Manual Removal Instructions
To remove this virus "by hand", follow these steps (WinNT/2K/XP):

Terminate the process TASKMON.EXE
Delete the file TASKMON.EXE from your WINDOWS SYSTEM directory (typically c:\windows\system32 or c:\winnt\system32)
Edit the registry
Delete the "TaskMon" value from
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Change the (Default) value to webcheck.dll here
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
Terminate the process EXPLORER.EXE
From the WINDOWS TASK MANAGER, click FILE - RUN, type EXPLORER.EXE and hit ENTER.
Delete the file SHIMGAPI.DLL your WINDOWS SYSTEM directory (typically c:\windows\system32 or c:\winnt\system32)
Reboot the system
McAfee Security Desktop Firewall
To prevent possible remote access McAfee Desktop Firewall users can block incoming TCP port 3127.

Sniffer Customers: Filters have been developed that will look for MyDoom traffic [Sniffer Distributed 4.1/4.2/4.3, Sniffer Portable 4.7/4.7.5, and Netasyst].

W32_MyDoom@MM Sniffer Filters.zip
ThreatScan users
The latest ThreatScan signature (2004-01-27) includes detection of the Mydoom virus. This signature is available for ThreatScan v2.0, v2.1, and v2.5.

ThreatScan users can also detect the backdoor portion of the virus by running a "Resource Discovery" task utilizing the port scanning options.

To update your ThreatScan installations with the latest signatures perform the following tasks:

From within ePO open the "Policies" tab.
Select "McAfee ThreatScan" and then select "Scan Options"
In the pane below click the "Launch AutoUpdater" button.
Using the default settings proceed through the dialogs that appear. Upon successful completion of the update a message will appear stating that; update 2004-01-27 has completed successfully.
From within ePO create a new "AutoUpdate on Agent(s)" task.
Go into the settings for this task and ensure that the host field is set to ftp.nai.com , the path is set to /pub/security/tsc20/updates/winnt/ and that the user and password fields are both set to ftp. Note that "tsc20" in the above path is used for ThreatScan 2.0 and 2.1. The correct path for ThreatScan 2.5 is "tsc25".
Launch this task against all agent machines.
When the task(s) complete information will be available in the "Task Status Details" report.
To create and execute a new task containing the new update functionality, do the following:

- Create a new ThreatScan task.
- Edit the settings of this task.
- Edit the "Task option", "Host IP Range" to include all desired machines to scan.
To scan for the virus:

Select the "Remote Infection Detection" category and "Windows Virus Checks" template. -or-
Select the "Other" category and "Scan All Vulnerabilities" template.
To create and execute a new task to perform a port scan, do the following:

Create a new Resource Discovery task.
Edit the settings of this task.
Edit the "Task option", "Host IP Range" to include all desired machines to scan.
To scan for the virus:

Select the "Port Scan" option.
Select the "TCP Port Scan" option.
Enter 3127 in the "TCP Port Ranges" field.
Launch the scan.
For additional information:

Run the "ThreatScan Template Report"
Look for module number #4061

Top of Page

Variants
Name Type Sub Type Differences

Top of Page

Aliases
Name
Novarg (F-Secure)
W32.Novarg.A@mm (Symantec)
Win32.Mydoom.A (CA)
Win32/Shimg (CA)
WORM_MIMAIL.R (Trend)

Soroya · 28/01/2004, 19h20

tu voudrais pas faire un résumé concis et clair de ce que ça veut dire ?
Perso ça ne me parle pas vraiment tout ça

En gros deux questions:

- Risque-t-on quelque chose sur son ordinateur personnel, si oui quoi ?

- Comment s'en débarrasser ( j'ai vu qu'un DLL était installé quelque part et qu'on pouvait le virer dans la base de registre, mais est-ce que c'est tout ce qu'il y a à faire ? )

Phos d'Ys · 28/01/2004, 19h36

Euh les virus ce n'est pas trop mon domaine de compétence hein

Je me suis contenté de faire un copier-coller de ce que me dit mon antivirus favori au sujet de MyDoom, c'est tout, et je ne saurais pas t'en dire beaucoup plus. Tout ce que je sais, c'est que mon antivirus me protège et que je ne risque rien, et voilà tout

Pour le reste, il vaut mieux demander à des spécialistes...

cygnus · 28/01/2004, 21h28

Citation :

En ce qui concerne MyDoom/Novarg, il scan l'ensemble du disque pour trouver des adresses emails, et s'auto envoi tout seul à ces adresses avec des entêtes aléatoires (plus les joyeusetés habituelles, ouverture d'un proxy en open relay, etc.).

Il va avoir du mal, j'ai aucune adresse dans mon carnet

Bah les antivirus... Ce Mydoom, faut quand meme ouvrir le mail pour le recevoir, voire ouvrir le fichier joint. Ca dénote d'une mauvaise éducation, pardon de l'absence d'éducation, des internautes.

Ah, sujet : Hello. je l'ai recu, dans mon courrier indésirable, donc nos soucis. Mais je l'ai recu faut croire, par des spammeurs

Nikkau · 28/01/2004, 21h50

Citation :

Provient du message de Zaffo Tout Rouge
pareil pour l'antivirus en fait: il me sort des fichiers comme mserv.exe etc. ce sont tous des virus? Comment faire la différence avec des fichiers système que je ne voudrais pas effacer?

Y a un truc à retenir là-dessus (ceux qui s'intéresse un minimum à leurs logs d'antivirus confirmeront): plus ça ressemble à un nom de fichier système plus y a de chance que ça soit un virus.

Mr_efbie · 28/01/2004, 21h53

lol, j'adore le virus qui évite d'utiliser tous les mots en rapport avec l'open source

Grim · 28/01/2004, 21h57

Citation :

Provient du message de cygnus
Il va avoir du mal, j'ai aucune adresse dans mon carnet

Il n'a pas dit carnet, il a dit adresse, une adresse mail dans une page web sur ton disque dur pourrait semble t'il lui suffire

Seymka · 28/01/2004, 22h21

Mon anti virus l'a pas trouvé

pourtant....

Mr. Anderson · 28/01/2004, 22h55

Voila un autre site qui explique mieu
http://fr.news.yahoo.com/040128/35/3m3ut.html

Ca fait peur

Arcadion · 29/01/2004, 00h00

Citation :

Provient du message de Soroya
- Risque-t-on quelque chose sur son ordinateur personnel, si oui quoi ?

- Comment s'en débarrasser ( j'ai vu qu'un DLL était installé quelque part et qu'on pouvait le virer dans la base de registre, mais est-ce que c'est tout ce qu'il y a à faire ? )

- il est surtout conçu pour attaquer le site de SCO mais bon, il en profite aussi pour installer un backdoor sur ta machine, histoire que quelqu'un puisse en prendre le contrôle ---> c'est mal

- pour s'en débarrasser, tu vas sur le site de ton fabricant d'antivirus favori et tu charges le petit outil de désinfection gratuit qui te l'éliminera proprement (exemple ici)

Soroya · 29/01/2004, 00h04

En lisant la news Yahoo, je me rassure

Les messages d'erreur type Mailer Daemon, c'est direct poubelle et je n'ai même pas l'install de Kazaa sur mon DD ^^

Loup Artic · 29/01/2004, 00h06

De plus, il analyse les fichiers html/thm/txt etc etc pour avoir des new cibles et ca marche très bien. Environ 1/3 des mails qui s'échangent en ce moment sont vérolés... (Infos de je sais pu ou. Symantec je crois)

Pour ma part, j'en ai reçu 127 sur une boite et 32 sur ma boite perso en 2 jours...

Norton boss dur..

Bleiz Tad Koal · 29/01/2004, 11h25

Bon, vlà !
J'ai reçu plusieurs mails douteux ( par exemple quelqu'un que je ne connais pas qui me répond en anglais pour un mail que je ne lui ai pas écrit

)
avec des fichiers joints genre "test.zip" ( je l'aime bien celui-là

) "document.zip" et caetera, faisant 32 ko.

Blacky avait donné une adresse que j'ai utilisé, spam lbl je crois, mais ce n'est pas le plus approprié me semble t il.

De surcroît, il semble que ces mails fassent suite à une pétition signée sur le site "la pétition", car d'autres personnes en ont reçu dans des circonstances similaires.

Donc, que faire ?

Je ne sais pas si je peux copier coller les mails, je suis à dispo pour les transmettre avec les pièces jointes à quelqu'un qui connaît son affaire.
Y a t il un site? quelque chose à faire ?

Merciiiii d'avance

Blacky--- · 29/01/2004, 11h27

C'est un virus, voir https://forums.jeuxonline.info/showthread.php?t=282040

Donc en effet Spam RBL (et autres SpamCop) ne feront rien, puisque ce n'est pas du spam, de plus les entêtes sont forgées de toutes pièces et de façon aléatoire. Et le mail n'a pas été envoyé par quelqu'un , mais via la machine de quelqu'un (il est toujours légalement responsable mais bon) qui a été infecté, puisque tous les nouveaux virus installent leur propre proxy qui leur permet d'envoyer des commandes (web et email sans distinction) sans passer par les outils du poste infecté.

Sadyre · 29/01/2004, 11h29

Citation :

Provient du message de houille
Tiens j'ai une question itou sur ça...
Qu'il s'auto-envoi tout seul, d'accord, mais quel adresse il prend alors comme expéditeur ?

En fait, il créé lui même le mail, donc il peut mettre n'importe quoi comme adresse d'expéditeur, et ce tout seul comme un grand. Ensuite, il utilise quelques adresses de serveur relay pour envoyer le tout

Aron · 29/01/2004, 11h30

Si j'ai bien lu, pour se faire infecter il faut exécuter le fichier joint. Je n'ai pas d'anti-virus mais je n'ouvre jamais les fichiers joints non attendus (et rarement le message lui-même) donc je ne suis pas plus dangereux que quelqu'un qui possède un anti-virus sur son pc et qui fait joujou avec ses mails...

Blacky--- · 29/01/2004, 11h32

Sauf que certains mauvais logiciels auto exécutent certaines choses, qui ne sont pas censées être du code mais en fait le sont (qui a dit Outlook et les emails en HTML ?

).

Un bon anti virus (et un firewall correctement configuré) sont absolument indispensables de nos jours.

Bleiz Tad Koal · 29/01/2004, 11h35

Merci Blacky.

Donc le seul lien avec la pétition, ou le fait d'être sur une mailing list, serait la récupération des adresses par un mal-intentionné.
Ce virus opère t -il sur mac os 8.6, et 10 ?
Je vais consulter ton lien.

Arcadion · 29/01/2004, 11h46

Citation :

Provient du message de Blacky---
qui a dit Outlook et les emails en HTML ? )

grrr ... les mails en HTML ... quelle horreur

A noter que la version B de MyDoom est en circulation depuis hier et qu'elle modifie le fichier hosts de la machine pour empêcher la connexion vers les sites d'antivirus

Marlin · 29/01/2004, 13h20

il est dit dans le long poste que le fichier a supprimé s'appelle taskmon or sur mon pc j'ai un taskman est ce le meme? (ca ressemble a task manager) alors dans le doute je n'ai pas supprimé

Blacky--- · 29/01/2004, 13h24

Non à ma connaissance c'est un virus Windows.

Marlin · 29/01/2004, 13h27

oki donc je conserve, j'aime bien ca les virus windows

edit pour en dessous:

moi 2 comptes hotmail rien...
un compte pro pleins de fois le virus
un alias rien....

ils doivent attaquer ma société

Moine Gourmand · 29/01/2004, 13h29

3 comptes mail sur Yahoo, 3 fois le virus

eulbobo · 29/01/2004, 14h05

Alors, on remet les choses à plat

Le virus est la piece jointe recue par mail, et pour le declencher, il faut ouvrir la piece jointe.

Pour que le virus puisse s'envoyer, il faut que vous possediez un client de mail dans un coin. Si a aucun endroit vous n'avez de smtp de définit, le virus va pas s'en inventer un tout seul comme un grand. Donc si vous consultez vos mails avec une interface type web, ya pas de danger (ouvrez pas la piece jointe)

Outlook ou pas, ca reviens au meme. Le fait d'avoir tel ou tel autre client de mail ne favorise pas la propagation.

Vive les firewalls.

Ce genre de ver va se rependre de plus en plus (ca en fait 2 en moins de 2 semaines de ce type) donc la regle est toujours la meme : n'ouvrez les documents joints à un mail que si vous etes sur de la personne qui vous l'a envoyé. Au pire, contactez la pour lui demander.

La plupart des providers ont des options antivirus mail : pensez y, ca soulage pas mal ! Les mails sont vérifiés chez le provider et vous etes toujours à jour.

Panzerjo MILKS · 29/01/2004, 14h28

Dite je ne peux plus lire mes mails sur Wanadoo, ca n'a rien a voir ou c'est Wanadoo qui a bloqué tout les mail pour evite la propagation?

Phos d'Ys [LM] Bagnard	Euh les virus ce n'est pas trop mon domaine de compétence hein Je me suis contenté de faire un copier-coller de ce que me dit mon antivirus favori au sujet de MyDoom, c'est tout, et je ne saurais pas t'en dire beaucoup plus. Tout ce que je sais, c'est que mon antivirus me protège et que je ne risque rien, et voilà tout Pour le reste, il vaut mieux demander à des spécialistes...
28/01/2004, 19h36

Mr_efbie Prophète	lol, j'adore le virus qui évite d'utiliser tous les mots en rapport avec l'open source
28/01/2004, 21h53

Grim Alpha & Oméga	Citation : Provient du message de cygnus Il va avoir du mal, j'ai aucune adresse dans mon carnet Il n'a pas dit carnet, il a dit adresse, une adresse mail dans une page web sur ton disque dur pourrait semble t'il lui suffire
28/01/2004, 21h57

Seymka Alpha & Oméga	Mon anti virus l'a pas trouvé pourtant....
28/01/2004, 22h21

Mr. Anderson Bagnard	Voila un autre site qui explique mieu http://fr.news.yahoo.com/040128/35/3m3ut.html Ca fait peur
28/01/2004, 22h55

Soroya [FED] Alpha & Oméga	En lisant la news Yahoo, je me rassure Les messages d'erreur type Mailer Daemon, c'est direct poubelle et je n'ai même pas l'install de Kazaa sur mon DD ^^
29/01/2004, 00h04

Loup Artic Prophète	De plus, il analyse les fichiers html/thm/txt etc etc pour avoir des new cibles et ca marche très bien. Environ 1/3 des mails qui s'échangent en ce moment sont vérolés... (Infos de je sais pu ou. Symantec je crois) Pour ma part, j'en ai reçu 127 sur une boite et 32 sur ma boite perso en 2 jours... Norton boss dur.. __________________ Free-H.org - Web - VPS
29/01/2004, 00h06

Sadyre Alpha & Oméga	Citation : Provient du message de houille Tiens j'ai une question itou sur ça... Qu'il s'auto-envoi tout seul, d'accord, mais quel adresse il prend alors comme expéditeur ? En fait, il créé lui même le mail, donc il peut mettre n'importe quoi comme adresse d'expéditeur, et ce tout seul comme un grand. Ensuite, il utilise quelques adresses de serveur relay pour envoyer le tout
29/01/2004, 11h29

Aron Alpha & Oméga	Si j'ai bien lu, pour se faire infecter il faut exécuter le fichier joint. Je n'ai pas d'anti-virus mais je n'ouvre jamais les fichiers joints non attendus (et rarement le message lui-même) donc je ne suis pas plus dangereux que quelqu'un qui possède un anti-virus sur son pc et qui fait joujou avec ses mails...
29/01/2004, 11h30

Blacky--- Alpha & Oméga	Sauf que certains mauvais logiciels auto exécutent certaines choses, qui ne sont pas censées être du code mais en fait le sont (qui a dit Outlook et les emails en HTML ? ). Un bon anti virus (et un firewall correctement configuré) sont absolument indispensables de nos jours.
29/01/2004, 11h32

Bleiz Tad Koal Alpha & Oméga	Merci Blacky. Donc le seul lien avec la pétition, ou le fait d'être sur une mailing list, serait la récupération des adresses par un mal-intentionné. Ce virus opère t -il sur mac os 8.6, et 10 ? Je vais consulter ton lien.
29/01/2004, 11h35

Arcadion Alpha & Oméga	Citation : Provient du message de Blacky--- qui a dit Outlook et les emails en HTML ? ) grrr ... les mails en HTML ... quelle horreur A noter que la version B de MyDoom est en circulation depuis hier et qu'elle modifie le fichier hosts de la machine pour empêcher la connexion vers les sites d'antivirus
29/01/2004, 11h46

Marlin Légende	il est dit dans le long poste que le fichier a supprimé s'appelle taskmon or sur mon pc j'ai un taskman est ce le meme? (ca ressemble a task manager) alors dans le doute je n'ai pas supprimé
29/01/2004, 13h20

Blacky--- Alpha & Oméga	Non à ma connaissance c'est un virus Windows.
29/01/2004, 13h24

Marlin Légende	oki donc je conserve, j'aime bien ca les virus windows edit pour en dessous: moi 2 comptes hotmail rien... un compte pro pleins de fois le virus un alias rien.... ils doivent attaquer ma société
29/01/2004, 13h27

Moine Gourmand Alpha & Oméga	3 comptes mail sur Yahoo, 3 fois le virus
29/01/2004, 13h29

Panzerjo MILKS Alpha & Oméga	Dite je ne peux plus lire mes mails sur Wanadoo, ca n'a rien a voir ou c'est Wanadoo qui a bloqué tout les mail pour evite la propagation?
29/01/2004, 14h28

[virus] MyDoom

Connectés sur ce fil