Worm.Win32_Lioten-KX

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

A son exécution, Lioten-KX se copie sous le nom %System%\wsass.exe et modifie 2 entrées de registre afin de se lancer à chaque démarrage de Windows :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Scheduler Service = "%System%\wsass.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Scheduler Service = "%System%\wsass.exe

N.B. : Lioten-KX détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Initiallement, Lioten-KX enlève les partages suivants de l'ordinateur infecté :

C$
D$
ADMIN$
IPC$
Print$

Le ver crée également un mutex nommé "suckmedick" pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.

Propagation

Par partages réseau (Ports : 445, 135, 139)

Le ver sélectionnes des adresses IP aléatoirement et tente de se connecter aux ports 445, 135 et 139 (TCP). Lioten-KX peut générer une liste complète d'adresses IP aléatoires, ou sur une liste interne.

Si la connexion réussie, le ver essaye de se connecter au partage réseau par défaut (IPC$) afin d'obtenir une liste d'utilisateurs depuis la machine distante. Il associe ces utilisateurs à une liste de mots de passe "simple" dnas le but d'accéder au partage Admin$ ou C$. Le ver essaye les mots de passe suivants :

{pas de mot de passe}
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
111
123
1234
123456
654321
admin
Administrateur
asdf
asdfgasdfgh
Gast
Guest
qwertzqwetry!@#$
root
server
studentStudentAdministrator

Si cela fonctionne, il tente de se copier soit lui-même soit avec PAYLOAD.DAT sur la machine infectée, sous le nom :

\c$\winnt\system32\wsass.exe
\Admin$\system32\wsass.exe
\print$\wsass.exe
\c$\wsass.exe

IPC$, ADMIN$ et C$ sont les partages réseau par défaut sous Windows 2000/XP, uniquement accessible aux compte ayant les droits administrateur. Le partage ADMIN$ est habituellement le répertoire représenté par la variable %Windir%.

Le ver ajoute ensuite une tâche, pour exécuter ce fichier, sur l'ordinateur distant.

Par exploit (Ports: 135, 445, 1025)

Lioten-KX peut se répandre en exploitant dans vulnérabilité dans les systèmes d'exploitation Windows. Si au moins l'un des exploits fonctionne correctement, un petit bout de code est exécuté, sur l'ordinateur de la victime, permettant une connexion FTP de la cible vers l'attaquant afin de recevoir le ver.

Voici les informations relatives aux failles exploitables :

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx


Lioten-KX contient des fonctionnalités de porte-dérobée qui permettent un accès non autorisé à l'ordinateur infecté. Par cette porte-dérobée, un intru peut effectuer les actions suivantes :

- Surveiller les ports IRC, HTTP et FTP
- Effectuer des attaques de SYN flooding par DDoS (Déni de Service Distribué)
- Désactiver le partage réseau
- Lister/Terminer des threads
- Obtenir des informations réseau
- Obtenir des informations système
- Enlever le ver
- Démarrer/Arrêter un serveur proxy SOCKS
- Démarrer/Arrêter un serveur FTP
- Lister/Terminer des processus
- Recevoir des clefs d'activation de logiciels payants
- Effectuer une requête DNS lookup
- Modifier les paramètres de mIRC
- Scanner des rangers d'adresses IP ou des IP aléatoires
- Démarrer/Arrêter la propagation du ver sur le réseau
- Maintenir Lioten à jour
- Rediriger des ports
- Télécharger un fichier

Les ports scannés sont le 23, 445, 135, et 139. Pourquoi 23 ? Pour essayer de contrôler, par l'interface Telnet, les modems routeurs/XSL Cisco en essayant de faibles mots de passe. Si cette opération se déroule bien, le pirate aura un accès total au modem, au firewall, au routage et à la configuration des ports.