Worm.Win32_LegMir-AD

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 35840 Octet(s)

Détails techniques:

Lorsqu'il est exécuté, LegMir-AD se copie dans :
\folder.exe
%WINDOWS%\~aTNr.exe
%WINDOWS%\cih.exe
%WINDOWS%\hh.exe
%WINDOWS%\intrenat.exe
%WINDOWS%\notepad.exe
%WINDOWS%\winhlp32.exe
%SYSTEM%\cih.exe
%SYSTEM%\lc_res.exe
%SYSTEM%\Winsocks.dll


Les fichiers "notepad.exe" et "hh.exe" sont tout d'abord copiés respectivement dans les fichiers "Note.dll" et "hh.dll" avant d'être remplacés par une copie du ver.

LegMir-AD tente de se copier sous le nom "folder.exe" sur tous les lecteurs logiques connectés à l'ordinateur.

Pour s'assurer d'être exécuté à l'ouverture du système, LegMir-AD crée dans le registre les entrées suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Intrenat
%WINDOWS%\intrenat.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Intrenat
%WINDOWS%\intrenat.exe


LegMir-AD crée dans le dossier racine le fichier "AUTORUN.INF" qui peut être supprimé.

LegMir-AD dérobe des informations concernant les mots de passe et les envoie par courriel à une adresse électronique préconfigurée.




http://www.blocus-zone.com/