W32/MyDoom-BG

Veuillez suivre les instructions de suppression des vers.

W32/MyDoom-BG est un ver de pollupostage contenant des fonctionnalités de porte dérobée qui infecte aussi les ordinateurs vulnérables à la faille LSASS (MS04-011).

Le ver tente de collecter des adresses électroniques sur le disque dur en passant en revue les fichiers portant les extensions WAB, PL, ADB, TBB, DBX, ASP, PHP, SHTL et HTM.W32/MyDoom-BG est un ver de pollupostage contenant des fonctionnalités de porte dérobée qui infecte aussi les ordinateurs vulnérables à la faille LSASS (MS04-011).

Lorsqu'il est exécuté pour la première fois, le ver se copie dans le dossier système Windows sous le nom de wfdmgr.exe et, pour s'exécuter automatiquement, crée les entrées de registre suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run LSA wfdmgr.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices LSA wfdmgr.exe

HKLM\Software\Microsoft\OLE LSA wfdmgr.exe

HKLM\System\CurrentControlSet\Control\Lsa LSA wfdmgr.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run LSA wfdmgr.exe

HKCU\Software\Microsoft\OLE LSA wfdmgr.exe

HKCU\System\CurrentControlSet\Control\Lsa LSA wfdmgr.exe

Le ver tente de collecter des adresses électroniques sur le disque dur en passant en revue les fichiers portant les extensions WAB, PL, ADB, TBB, DBX, ASP, PHP, SHTL et HTM.

Les courriels envoyés par W32/MyDoom-BG ont le format suivant :

L'objet est choisi parmi :

Error

Status

Server Report

Mail Transaction Failed

Mail Delivery System

hello

hi

Le corps du message est choisi parmi :

This is a multi-part message in MIME format.

Mail transaction failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Le nom de fichier de la pièce jointe porte une extension bat, cmd, exe, scr, pif ou zip et est choisi parmi :

message test data file text doc readme document