Virus
Mytob.U

PREVENTION : Les utilisateurs concernés doivent mettre à jour leur antivirus. En cas de doute, les utilisateurs de Windows NT, 2000, XP et 2003 doivent également mettre à jour leur système via le site de Microsoft ou WindowsUpdate afin de corriger la faille LSASS exploitée par le virus pour s'exécuter automatiquement. DESINFECTION : Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus pour éviter une réinfection. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'utilitaire de désinfection FxMytob pour rechercher et éliminer Mytob.U.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Worm/Mytob.W (AntiVir)
Win32:Mytob-U (Avast)
Worm.Mytob.T (ClamAV)
Win32.Mytob.X (Computer Associates)
W32/Mytob.Q (F-Secure)
Net-Worm.Win32.Mytob.p (KAV)
Net-Worm.Win32.Mytob.q (KAV)
Net-Worm.Win32.Mytob.r (KAV)
W32/Mytob.gen (McAfee)
Win32/Mytob.T (NOD32)
W32/Mytob.W.worm (Panda Software)
W32/Mytob-R (Sophos)
W32/Mytob-W (Sophos)
WORM_MYTOB.W(Trend Micro)
WORM_MYTOB.X (Trend Micro)
WORM_MYTOB.Z (Trend Micro)
Win32/Atak.Variant!Worm

TAILLE :
51 à 56 Ko

DECOUVERTE :
06/04/05

DESCRIPTION DETAILLEE :
Mytob.U se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires Quelques titres de messages :

• Good day
• hello
• Mail Delivery System
• Mail Transaction Failed
• Server Report
• Status
• Error
• [vide]
• [caractères aléatoires]

Le corps du message est variable. Quelques exemples :

• Here are your banks documents.
• The original message was included as an attachments.
• The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
• The message contains Unicode characters and has been sent as a binary attachment.
• Mail transaction failed. Partial message is available.
• [caractères aléatoires]

La pièce jointe possède une extension en .BAT, .CMD, .EXE, .PIF, .SCR ou .ZIP et un nom aléatoire (51 à 56 Ko) :

• body
• data
• doc
• document
• file
• message
• readme
• test
• text
• [caractères aléatoires]

Si ce fichier est exécuté, le virus se copie dans le répertoire Système sous les noms taskgmr.exe et nethell.exe, ainsi qu'à la racine du disque sous les noms funny_pic.scr, my_photo2005.scr et see_this!!.scre, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, s'envoie aux adresses figurant dans le carnet d'adresses Windows ainsi que divers autres fichiers, installe une porte dérobée contrôlée par IRC autorisant la prise de contrôle à distance de l'ordinateur par un individu malveillant, modifie le fichier Hosts de Windows pour empêcher l'utilisateur d'accéder aux sites web des principaux éditeurs d'antivirus, puis scanne le réseau à la recherche de nouvelles machines vulnérables à l'exploit LSASS pour les infecter.

INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus
-> Identifier les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des dizaines de messages infectés envahissent ma boîte aux lettres. Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ : une alerte m'indique qu'un virus a été trouvé dans un message que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus