Worm.Win32_Lewor-D

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 21659 Octet(s)

Détails techniques:

A son exécution, Lewor-D dépose des copies du ver sous les nom %Windir%\svohost.exe, %System%\lsasa.exe et %System%\prnit.exe.

Afin d'être lancé à chaque démarrage de Windows, le ver ajoute l' entrée de registre suivante :

- Sous Windows 95/98/Me

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"ScamDisk" = "%Windir%\svohost.exe"


- Sous Windows NT/2000/XP/Server 2003 :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"ctfnom.exe" = "%Windir%\svohost.exe"


N.B.1 : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.

N.B.2 : Lewor-D détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Lewor-D ajoute les entrées de registre suivantes pour être activé à chaque fois qu'un fichier texte (.txt) est ouvert :

HKEY_CLASSES_ROOT\txtfile\shell\open\command
default = "%System%\lsasa.exe "%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
default = "%System%\lsasa.exe "%1"


Sur les systèmes NT/2000/XP/Server 2003, il modifie l'entrée suivante, pour assurer son exécution automatique au lancement de Windows :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe prnit.exe"


Lewor-D désactive le "Gestionnaire des Tâches" en créant cette entrée de registre :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
DisableTaskMgr = "1"


Il change aussi la page de démarrage de Internet Explorer pour obliger l'utilisateur à visiter le site http://www.joyiex.com :

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
SearchURL = "http://www.joyiex.com"

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main First
Home Page = "http://www.joyiex.com"

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
default_page_url = "http://www.joyiex.com"

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Default_Search_URL = "http://www.joyiex.com"

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs
url2 = "http://www.joyiex.com"

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs
url3 = "http://www.joyiex.com"


Il empêche l'utilisateur de changer la page de démarrage de IE avec cette entrée :

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control
PanelHomePage = "1"


Lewor-D se propage par MSN Messenger en envoyant un message à tous les conctatcs en ligne de la machine infectée. Ce message contient une URL qui pointe vers l'un des liens suivants :

http://play.joyiex.com/520.exe
http://play.joyiex.com/movie.exe
http://play.joyiex.com/love.htm


Le ver crée également les mutex nommés "KingsoftAntivirusScanProgram7Mutex.", "SKYNET_PERSONAL_FIREWALL.", "ASSISTSHELLMUTEX." et "AntiTrojan3721." pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.




http://www.hackisknowledge.org/