Qu’est ce que Mydoom ?

Les ordinateurs fonctionnant sous Windows font face à une nouvelle épidémie de virus-ver !

En effet Mydoom est un virus, appelé aussi ver (Worm en anglais). On peut également le trouver sous le nom de W32/Mydoom. Sachez qu’un ver est un programme complet capable de répandre des copies de lui-même ou de ses segments sur d’autres systèmes informatiques. Contrairement aux virus, un ver n’a pas besoin de s’attacher à un programme hôte.

Ce ver est connu sous deux versions :

  • Mydoom.A, appelé aussi Novarg par Symantec
  • Mydoom.B, son petit frère

Se propageant très vite sur la toile, il est en passe de devenir la plus importante attaque de virus connue jusqu’à aujourd’hui. Sa vitesse de propagation est due au fait qu’il se diffuse à travers les carnets d’adresses des ordinateurs infectés et à travers le logiciel Kazaa (réseau d’échanges de fichiers peer-to-peer).

En deux jours et demie, Mydoom.B est capable d’infecter plus de 100 millions de courriers et perturber le fonctionnement de plus de 400 000 ordinateurs, ce qui entraîne une saturation des réseaux. Celui-ci utiliserait son grand-frère Mydoom.A pour se propager plus rapidement. Ce virus utilise son propre moteur d’envoi de courrier et Mydoom se poste de lui-même vers l’ensemble des contacts trouvés. Le dernier important virus connu sous le nom de sofig.F avait lui infecté 300 millions de courriers en une semaine.

Mydoom.B est susceptible d’infecter les ordinateurs à la simple lecture du courrier le contenant. Cette version se caractérise par l’envoi d’un message d’erreur éveillant la curiosité du destinataire qui l’ouvre mais après cette ouverture il est trop tard. Mydoom.A ne s’active qu’à l’ouverture d’un fichier joint proposant des photos et messages personnels envoyés par des amis ou des photos érotiques. Si ce virus ne détruit aucune donnée sur le disque dur, il permettra par contre aux pirates, grâce à l’ouverture d’un port, de modifier ou de détruire toute information contenue sur l’ordinateur.

Mydoom C (également connu sous le nom de DoomJuice) a été détecté le 9 février. Il s’agit d’une variante du ver Mydoom qui attaque uniquement les systèmes déjà infectés par MydoomA. Les utilisateurs non infectés par Mydoom A ne courent donc absolument aucun risque avec MyDoom C . Il en va de même pour les utilisateurs encore infectés par Mydoom B. Mydoom C tente de lancer une attaque de déni de service contre les propriétés de Microsoft.

Mydoom serait un virus destiné à lancer des attaques distribuées par déni de service vers le site web de SCO et cela à partir du dimanche 1er Février 2004. SCO ne sera pas le seul concerné puisque Microsoft est également sur la liste. L’attaque de microsoft est prévue pour mardi 3 Février. Sachez que ces entreprises offrent chacune une récompense de 250 000 $ pour toute information menant à l’arrestation et à la condamnation du créateur de ce ver informatique. Le virus quand à lui aurait une fin fixée le 12 Février 2004.

Les infections de Mydoom.

Il est à noter qu’il existe, à ce jour, deux versions de ce nouveau virus. Leurs actions ne sont pas exactement similaires. Pour commencer, le mode d’activation varie puisque pour la première version il faut ouvrir un fichier attaché (aux formats : exe, pif, cmd ou scr), alors que la seconde version est plus virulente puisque le virus s’active à la simple lecture du mail. En ce qui concerne la première version du ver : Mydoom.A, une fois exécuté, il se copie très rapidement sur votre ordinateur dans le dossier partagé du logiciel de Peer to Peer « Kazaa » sous les noms suivants :

  • winamp5
  • icq2004-final
  • activation_crack
  • strip-girl-2.0bdcom_patches
  • rootkitXP
  • office_crack
  • nuke2004

L’objectif étant, bien évidemment, de se propager le plus rapidement possible. Puis le bloc-notes de Windows s’ouvre avec du texte aléatoire pour faire diversion (Fig 2.1), pendant que le virus se copie, encore une fois, dans le répertoire Système de Windows sous le nom de Taskmon.exe (Fig 2.2). Il modifie ensuite la base de registre afin de pouvoir se lancer à chaque redémarrage de la machine.

Fig. 2.1 Fig. 2.2

Il infecte ensuite les fichiers suivants : .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab, .txt. Il se propage alors via son propre moteur SMTP à tous les correspondants figurant dans le carnet d’adresses et utilise comme adresse d’expéditeur une adresse choisie aléatoirement parmi la liste ou en créant tout simplement une fausse adresse. Malheureusement, le virus ne s’arrête pas là. Il installe ensuite une backdoor : « Shimgapi.dll » (Fig 2.3) dans le répertoire système, ce qui permet la prise de contrôle de l’ordinateur, par un utilisateur malveillant, via les ports TCP allant de 3127 à 3198.

Fig. 2.3

Le but ultime de ce virus est la paralysie d’un site Internet : www.sco.com. En effet il réalise une attaque DDoS (Distributed Denial of Service) sur ce site avec une requête HTTP toutes les 1.024 millisecondes prévue pour le 1er février 2004. La deuxième version, plus récente, appelée Mydoom.B, est plus virulente, car le virus s’exécute à la simple lecture du mail, sans ouvrir de fichier attaché. Il se propage de la même manière mais utilise en plus tous les ordinateurs infectés par Mydoom.A pour se répliquer. Cette deuxième version, beaucoup plus « intelligente », interdit en effet à l’hôte infecté de se mettre à jour auprès des différents éditeurs d’antivirus en écrasant le fichier HOSTS local et en rendant impossibles les connexions vers de nombreux sites comme :

  • download.mcafee.com
  • f-secure.com
  • ssophos.com
  • go.microsoft.com
  • networkassociates.com
  • symantec.com

Il est conçu pour submerger de requêtes un site Internet prédéfini dans le but de le rendre inaccessible, mais cette fois-ci la victime serait le site de Microsoft (www.microsoft.com).

Comment s’en protéger, comment s’en débarrasser ?

protéger des vers MyDoom /Novarg

MyDoom/Novarg est un virus du type ver existant sous différentes variantes. Il se propage par les messageries ou les logiciels de peer to peer comme Kazaa. La meilleure façon de se protéger est de ne pas ouvrir de pièces jointes provenant d’un courriel dont l’objet, l’expéditeur ou le corps du message sont douteux. De : L’adresse de l’expéditeur peut être usurpéeObjet : (L’un des suivants)

  • test
  • hi
  • hello
  • Mail Delivery System
  • Mail Transaction Failed
  • Server Report Status Error

Message : (L’un des suivants)

  • Mail transaction failed. Partial message is available.
  • The message contains Unicode characters and has been sent as a binary attachment.
  • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Comment savoir si votre ordinateur est infecté par Mydoom.B ?

Pour savoir si votre ordinateur est infecté, suivez la procédure suivante : Pour Windows 9x/NT 4.0/2000/XP/2003

  • Cliquez sur Démarrer puis sur Exécuter.
  • Saisissez cmd puis cliquez sur OK.
  • Saisissez la commande suivante :dir ctfmon.dll /a /s et appuyez sur Entrée.
    • Si le résultat est Aucun fichier trouvé, votre ordinateur n’est pas infecté par Mydoom.B
    • Si le résultat est Fichier trouvé et qu’un fichier apparaît avec sa taille (Voir image ci-contre), votre ordinateur est infecté. Suivez alors la procédure de suppresion.

Suppression manuelle du virus MyDoom

Pour les utilisateurs de Windows Me & Windows XP, il est fortement conseillé de désactiver la restauration système. Sous Windows XP :

  • Faites un clic droit sur Poste de travail
  • Cliquez sur Propriétés.
  • Cliquez ensuite sur l’onglet Restauration système
  • Cochez la case Désactiver la restauration système sur tous les lecteurs.
  • Cliquez ensuite sur OK
  • Windows vous demande alors de confirmer la désactivation de la restauration système, cliquer sur Oui.

Sous Windows Me (Millenium Edition) /

  • Cliquez sur Paramètres, puis cliquez sur Panneau de configuration.
  • Faites un double clic sur Système
  • Cliquez sur l’onglet Dépannage
  • Cliquez ensuite sur Désactiver la restauration système.
  • Cliquez sur OK, puis Fermer. Cliquez sur OK lorsque vous êtes invité à redémarrer.

Désactiver le ver MyDoom sous Windows 9x /NT/2000/XP/2003

Pour désactiver le ver MyDoom sous Windows 9x /NT/2000/XP/2003: il vous faudra éditer le registre système.

    • Lancez l’éditeur de registre : Démarrer, Exécuter, taper regedit
    • Cherchez la clé suivante : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Dans le volet de droite :

    • Supprimez la valeur suivante : “Taskmon”=”%System%\taskmon.exe” (apparaît avec MyDoom.A)
    • Supprimez la valeur suivante : “Explorer”=”%System%\explorer.exe (apparaît avec MyDoom.B)

    • Puis cherchez la clé suivante : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Dans le volet de droite :

    • Supprimez la valeur suivante : “Taskmon”=”%System%\taskmon.exe(apparaît avec MyDoom.A)
    • Supprimez la valeur suivante : “Explorer”=”%System%\explorer.exe(apparaît avec MyDoom.B)

      Ceci désactive le virus au démarrage de la machine.

%System%

      représente l’emplacement du dossier System :

    • Sous Windows 9x il s’agit de C:\Windows\system
    • Sous Windows NT/2000 il s’agit de C:\Winnt\System32
    • Sous Windows XP/2003 il s’agit de C:\Windows\System32
    • Supprimez la clé suivante : (Apparaît avec MyDoom.A) : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Explorer\ComDlg32\Version
    • Faites un clic droit sur Version et choisissez Supprimer

    • Supprimez la clé suivante: (Apparaît avec MyDoom.A): HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\ComDlg32\Version
    • Faites un clic droit sur Version et choisissez Supprimer

    • Cherchez la clé suivante : (Apparaît avec MyDoom.A et MyDoom.B): HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

Remarque: afin de trouver rapidement cette clé, il est recommandé d’utiliser la fonction Recherche.

    • Sélectionnez la ruche suivante : HKEY_CLASSES_ROOT
    • Cliquez sur Edition puis Rechercher
    • Tapez le texte suivant : E6FB5E20
    • Cliquez sur Suivant
    • Faites un double clic sur la clé trouvée puis sélectionnez InProcServer32

vous avez Windows NT/2000/XP/2003

    • Dans le volet de droite, cliquez deux fois sur (par défaut)
    • Dans le champ Données de la valeur, remplacez le texte par celui-ci :%SystemRoot%\System32\webcheck.dll
    • Cliquez sur OK.

vous avez Windows 95/98/Me

  • Dans le volet de droite, cliquez deux fois sur (par défaut)
  • Dans le champ Données de la valeur, remplacez le texte par celui-ci:Windows\System\webcheck.dll
  • Cliquez sur OK.
  • Quittez l’Editeur du Registre.

Restauration du fichier hosts (Avec MyDoom.B)

Le fichier hosts contient la liste des sites web mis en cache manuellement. Lorsque que vous naviguez sur un site, l’ordinateur vérifie que l’adresse du site web est enregistrée dans le fichier hosts puis se connecte au site web avec les informations trouvées. Le ver MyDoom.B ajoute au fichier hosts des adresses invalides.

    • Ouvrir le bloc-notes : Démarrer Exécuter taper notepad
    • Cliquez sur Ouvrir

Et sélectionnez le fichier hosts

    • Si vous avez Windows 9x : Le fichier hosts se trouve dans C:\Windows
    • Si vous avez Windows NT/2000: le fichier hosts se trouve dans C:\WinNT\System32\Drivers\Etc
    • Si vous avez Windows XP/2003 : le fichier hosts se trouve dans C:\Windows\System32\Drivers\Etc
    • Supprimez ensuite toutes les lignes contenant une entrée commençant par l’adresse IP suivante 0.0.0.0.

Exemple : 0.0.0.0 www.microsoft.com 0.0.0.0 download.microsoft.com

  • Cliquez sur Fichier puis Enregistrer, puis quitter le bloc-notes.

Suppression des fichiers infectés

Les éditeurs d’antivirus ont publié des outils de réparation afin d’éliminer les différentes versions de MyDoom : SymantecF-Secure

Supprimer MyDoom C : 1. Utilisez le gestionnaire des tâches pour terminer le processus intranet.exe qui tourne sur votre machine. 2. Supprimez le fichier intranet.exe du dossier %windir%\system32 (pour Windows NT, Windows 2000, Windows XP) ou %windir%\system (Windows 95/98/ME). 3. Avec l’éditeur de registre, supprimez les clés suivantes : HKey_Local_Machine\gremlin HKey_Current_User, Key\gremlin. 4. Supprimez le fichier sync-src-1.00.tbz à la racine de chacun des disques ainsi qu’à la racine du profil de l’utilisateur.