_Landis-A
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 112170 Octet(s)
Détails techniques:
Landis-A est une porte dérobée qui se répand par MSN Messenger en envoyant ce message :
" hey, is this you? http://www.vbulettin.com/pro{censuré}?email={adresse e-mail}"
Quand il est exécuté, Landis-A crée un dossier au nom aléatoire dans %System%, dans lequel il dépose ces 3 fichiers :
csrss.dat
csrss.exe - une copie de Landis-A
csrss.ini
Afin d'être lancé à chaque démarrage, il ajoute les entrées de registre suivantes :
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
Run = "%System%\{aléatoire}\csrss.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Csrss = "%System%\{aléatoire}\csrss.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Csrss = "%System%\{aléatoire}\csrss.exe"
N.B. : Landis-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Landis-A apporte aussi d'autres modifications à la base de registre :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
NoAdminPage = "1"
HKEY_LOCAL_MACHINE\Software\Classes\Chode
Installed = "1"
HKEY_CLASSES_ROOT\Chode
Installed = "1"
HKEY_CURRENT_USER\Software\Chode
Installed = "1"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
EnableFirewall = "dword:00000000"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
DoNotAllowExceptions = "dword:00000000"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
EnableFirewall = "dword:00000000"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
DoNotAllowExceptions = "dword:00000000"
Landis-A essaie de supprimer l'entrée suivante :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
pccguide.exe = "C:\Program Files\Trend Micro\Internet Security 2005\pccguide.exe"
Landis-A modifie le registre afin de désactiver les produits "Trend Micro" :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PcCtlCom
Start = "dword:00000004"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\srservice
Start = "dword:00000004"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tmntsrv
Start = "dword:00000004"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TmPfw
Start = "dword:00000004"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tmproxy
Start = "dword:00000004"
Landis-A modifie également les entrées de registre suivantes :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = "dword:00000002"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
SuperHidden = "dword:00000000"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = "dword:00000000"
La fonction principale de Landis-A est sa porte dérobée. Cette dernière est ouverte sur le port 37737. Landis-A tente de se connecter sur le serveur IRC update.ch0de.info, joint le canal #.wow avec la clef superaids. Il tente ensuite de télécharger, sur la machine infectée, une copie du malware.
La porte dérobée permet à une personne malveillante de :
- Télécharger des mises à jours du malware
- Terminer des process
- Enlever le malware de la machine infectée
- Obtenir des informations sur le système
- Effectuer un flood ICMP
- Redémarrer ou arrêter le système
- Exécuter des commandes MS-DOS
- Télécharger et télédécharger des fichiers
Landis-A tente de terminer des process relatifs à des logiciels de sécurité :
bbeagle.exe
ccApp
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccsetmgr.exe
CleanUp
d3dupdate.exe
enterprise.exe
gcasdtserv.exe
gcasServ
gcasserv.exe
hijackthis*
hijackthis.exe
i11r54n4.exe
irun4.exe
isafe.exe
issvc.exe
kav.exe
KAVPersonal50
kavsvc.exe
mcagent.exe
mcdash.exe
mcinfo.exe
mcmnhdlr.exe
mcshield.exe
MCUpdateExe
mcvsescn.exe
mcvsftsn.exe
mcvsrte.exe
mcvsshld.exe
microsoft antispyware*
mpfagent.exe
mpfservice.exe
mpftray.exe
msblast.exe
msconfig.exe
mscvb32.exe
mskagent.exe
mwincfg32.exe
navapsvc.exe
navapw32.exe
navw32.exe
npfmntor.exe
Outpost Firewall
outpost.exe
pandaavengine.exe
pccguide.exe
pcclient.exe
pcctlcom.exe
penis32.exe
regedit.exe
services
smc.exe
sndsrvc.exe
spbbcsvc.exe
Symantec NetDriver Monitor
symlcsvc.exe
sysinfo.exe
sysmonxp.exe
teekids.exe
tmntsrv.exe
tmpfw.exe
tmproxy.exe
usrprmpt.exe
VirusScan Online
vsmon.exe
VSOCheckTask
wincfg32.exe
winsys.exe
winupd.exe
zapro.exe
zlclient.exe
Zone Labs Client
Landis-A utilise un outil spécial pour déchiffrer les mots de passe disponible sur le système infecté. Une fois déchiffrés, les mots de passe sont envoyés à l'attaquant qui utilise la porte dérobée.
Landis-A modifie le fichier HOSTS afin d'empêcher l'utilisateur d'accéder aux sites suivants :
avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
fastclick.net
ftp.f-secure.com
ftp.sophos.com
grisoft.com
housecall.trendmicro.com
kaspersky.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
merijn.org
my-etrust.com
nai.com
networkassociates.com
pandasoftware.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spywareinfo.com
support.microsoft.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.com
www.avp.com
www.awaps.net
www.ca.com
www.f-secure.com
www.fastclick.net
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.merijn.org
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.pandasoftware.com
www.sophos.com
www.spywareinfo.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
www.zonelabs.com
www3.ca.com
zonelabs.com
Taille: 112170 Octet(s)
Détails techniques:
Landis-A est une porte dérobée qui se répand par MSN Messenger en envoyant ce message :
" hey, is this you? http://www.vbulettin.com/pro{censuré}?email={adresse e-mail}"
Quand il est exécuté, Landis-A crée un dossier au nom aléatoire dans %System%, dans lequel il dépose ces 3 fichiers :
csrss.dat
csrss.exe - une copie de Landis-A
csrss.ini
Afin d'être lancé à chaque démarrage, il ajoute les entrées de registre suivantes :
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
Run = "%System%\{aléatoire}\csrss.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Csrss = "%System%\{aléatoire}\csrss.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Csrss = "%System%\{aléatoire}\csrss.exe"
N.B. : Landis-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Landis-A apporte aussi d'autres modifications à la base de registre :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
NoAdminPage = "1"
HKEY_LOCAL_MACHINE\Software\Classes\Chode
Installed = "1"
HKEY_CLASSES_ROOT\Chode
Installed = "1"
HKEY_CURRENT_USER\Software\Chode
Installed = "1"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
EnableFirewall = "dword:00000000"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
DoNotAllowExceptions = "dword:00000000"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
EnableFirewall = "dword:00000000"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
DoNotAllowExceptions = "dword:00000000"
Landis-A essaie de supprimer l'entrée suivante :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
pccguide.exe = "C:\Program Files\Trend Micro\Internet Security 2005\pccguide.exe"
Landis-A modifie le registre afin de désactiver les produits "Trend Micro" :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PcCtlCom
Start = "dword:00000004"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\srservice
Start = "dword:00000004"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tmntsrv
Start = "dword:00000004"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TmPfw
Start = "dword:00000004"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tmproxy
Start = "dword:00000004"
Landis-A modifie également les entrées de registre suivantes :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = "dword:00000002"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
SuperHidden = "dword:00000000"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = "dword:00000000"
La fonction principale de Landis-A est sa porte dérobée. Cette dernière est ouverte sur le port 37737. Landis-A tente de se connecter sur le serveur IRC update.ch0de.info, joint le canal #.wow avec la clef superaids. Il tente ensuite de télécharger, sur la machine infectée, une copie du malware.
La porte dérobée permet à une personne malveillante de :
- Télécharger des mises à jours du malware
- Terminer des process
- Enlever le malware de la machine infectée
- Obtenir des informations sur le système
- Effectuer un flood ICMP
- Redémarrer ou arrêter le système
- Exécuter des commandes MS-DOS
- Télécharger et télédécharger des fichiers
Landis-A tente de terminer des process relatifs à des logiciels de sécurité :
bbeagle.exe
ccApp
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccsetmgr.exe
CleanUp
d3dupdate.exe
enterprise.exe
gcasdtserv.exe
gcasServ
gcasserv.exe
hijackthis*
hijackthis.exe
i11r54n4.exe
irun4.exe
isafe.exe
issvc.exe
kav.exe
KAVPersonal50
kavsvc.exe
mcagent.exe
mcdash.exe
mcinfo.exe
mcmnhdlr.exe
mcshield.exe
MCUpdateExe
mcvsescn.exe
mcvsftsn.exe
mcvsrte.exe
mcvsshld.exe
microsoft antispyware*
mpfagent.exe
mpfservice.exe
mpftray.exe
msblast.exe
msconfig.exe
mscvb32.exe
mskagent.exe
mwincfg32.exe
navapsvc.exe
navapw32.exe
navw32.exe
npfmntor.exe
Outpost Firewall
outpost.exe
pandaavengine.exe
pccguide.exe
pcclient.exe
pcctlcom.exe
penis32.exe
regedit.exe
services
smc.exe
sndsrvc.exe
spbbcsvc.exe
Symantec NetDriver Monitor
symlcsvc.exe
sysinfo.exe
sysmonxp.exe
teekids.exe
tmntsrv.exe
tmpfw.exe
tmproxy.exe
usrprmpt.exe
VirusScan Online
vsmon.exe
VSOCheckTask
wincfg32.exe
winsys.exe
winupd.exe
zapro.exe
zlclient.exe
Zone Labs Client
Landis-A utilise un outil spécial pour déchiffrer les mots de passe disponible sur le système infecté. Une fois déchiffrés, les mots de passe sont envoyés à l'attaquant qui utilise la porte dérobée.
Landis-A modifie le fichier HOSTS afin d'empêcher l'utilisateur d'accéder aux sites suivants :
avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
fastclick.net
ftp.f-secure.com
ftp.sophos.com
grisoft.com
housecall.trendmicro.com
kaspersky.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
merijn.org
my-etrust.com
nai.com
networkassociates.com
pandasoftware.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spywareinfo.com
support.microsoft.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.com
www.avp.com
www.awaps.net
www.ca.com
www.f-secure.com
www.fastclick.net
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.merijn.org
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.pandasoftware.com
www.sophos.com
www.spywareinfo.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
www.zonelabs.com
www3.ca.com
zonelabs.com
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
