Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 35840 Octet(s)
Détails techniques:
Lorsqu'il est exécuté, LegMir-AD se copie dans :
\folder.exe
%WINDOWS%\~aTNr.exe
%WINDOWS%\cih.exe
%WINDOWS%\hh.exe
%WINDOWS%\intrenat.exe
%WINDOWS%\notepad.exe
%WINDOWS%\winhlp32.exe
%SYSTEM%\cih.exe
%SYSTEM%\lc_res.exe
%SYSTEM%\Winsocks.dll
Les fichiers "notepad.exe" et "hh.exe" sont tout d'abord copiés respectivement dans les fichiers "Note.dll" et "hh.dll" avant d'être remplacés par une copie du ver.
LegMir-AD tente de se copier sous le nom "folder.exe" sur tous les lecteurs logiques connectés à l'ordinateur.
Pour s'assurer d'être exécuté à l'ouverture du système, LegMir-AD crée dans le registre les entrées suivantes :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Intrenat
%WINDOWS%\intrenat.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Intrenat
%WINDOWS%\intrenat.exe
LegMir-AD crée dans le dossier racine le fichier "AUTORUN.INF" qui peut être supprimé.
LegMir-AD dérobe des informations concernant les mots de passe et les envoie par courriel à une adresse électronique préconfigurée.