_Lisima-AO

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 122821 Octet(s)

Détails techniques:

A son exécution, Lisima-AO dépose les fichiers suivants :

C:\GEDZAC.TXT
C:\hst.sys
- Un fichier "HOSTS" modifié
C:\l.reg - Un fichier de registre utilisé pour référencé le fichier du virus dans la base de registre
C:\Leliel.hta
C:\LELIEL.TXT
C:\vi.inf
%Windir%\Leliel.zip
- Une copie du ver dans un ZIP
%Windir%\MSRundll32.exe - Une copie du ver
%Windir%\ymsg\amor_love.zip - Une copie du ver dans un ZIP
%Windir%\ymsg\chicas_girls.zip - Une copie du ver dans un ZIP
%Windir%\ymsg\Mi foto.zip - Une copie du ver dans un ZIP
%Windir%\ymsg\mi poema.zip - Une copie du ver dans un ZIP
%Windir%\ymsg\Video.zip - Une copie du ver dans un ZIP

N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.

Lisima-AO ajoute les entrées de registre suivantes pour sa propre méthode de propagation :

HKEY_CURRENT_USER\Software\America Online\AOL Instant Messenger (TM)\CurrentVersion\Users\{utilisateur AOL}}\Xfer
DirFileLib = "%Windir%\ymsg"

HKEY_CURRENT_USER\Software\America Online\AOL Instant Messenger (TM)\CurrentVersion\Users\
{utilisateur AOL}\Xfer
GetAllow = "2"

HKEY_CURRENT_USER\Software\America Online\AOL Instant Messenger (TM)\CurrentVersion\Users\
{utilisateur AOL}\Xfer
PutNoStatus = "1"

HKEY_CURRENT_USER\Software\Yahoo\pager\profiles\Alerts\FileTransfer
Public Dir = "%Windir%\ymsg"

HKEY_CURRENT_USER\Software\Yahoo\pager\profiles\Alerts\FileTransfer
Get Permit = "2"

HKEY_CURRENT_USER\Software\Yahoo\pager\profiles\Alerts\FileTransfer
Show Get Status = "0"

HKEY_CURRENT_USER\Software\Yahoo\pager\profiles\Archive\FileTransfer
Public Dir = "%Windir%\ymsg"

HKEY_CURRENT_USER\Software\Yahoo\pager\profiles\Archive\FileTransfer
Get Permit = "2"

HKEY_CURRENT_USER\Software\Yahoo\pager\profiles\Archive\FileTransfer
Show Get Status = "0"

HKEY_CURRENT_USER\Software\Yahoo\pager\profiles\Chat\FileTransfer
Get Permit = "2"

HKEY_CURRENT_USER\Software\Yahoo\pager\profiles\Chat\FileTransfer
Show Get Status = "0"

HKEY_CURRENT_USER\Software\Yahoo\pager\profiles\YbSkin\FileTransfer
Get Permit = "2"


Il place aussi les entrées suivantes afin de désactiver certaines fonctionnalités de Windows :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
DisableSR = "1"


Lisima-AO crée aussi l'entrée suivante afin de remplacer Mstask.exe par une copie du virus :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
PendingFileRenameOperations = "%System%\MSTask.exe"


N.B. : Lisima-AO détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Il modifie le registre pour être lancé à chaque démarrage de Windows :

HKEY_CLASSES_ROOT\exefile\shell\open\command
(default) = "%Windir%\MSRundll32.exe "%1" %*"



Quand un répertoire est ouvert, Lisima-AO cherche les fichiers .exe présents à l'intérieur pour leur injouté son code.
Cette infection de code est rendue possible par l'ajoute de l'entrée de registre suivante :

HKEY_CLASSES_ROOT\Directory\shell\Asimilar\command
(default) = "%Windir%\MSRundll32.exe "%1" %*"


Mais il peut écraser certains fichiers qu'il essaie d'infecter.

Lisima-AO modifie aussi le fichier HOSTS dans le but d'empêcher l'accès à des sites de sécurité et d'antivirus.
Le virus redirige l'accès aux sites suivants vers le localhost (127.0.0.1) :

www.zonavirus.com
www.perantivirus.com
www.perantivirus.net
www.perantivirus.org
www.persystems.net
www.persystems.com
ftp.perantivirus.com
www.hacksoft.com.pe
www.hacksoft.net
www.avp.com
avp.com
avp.ch
www.ca.com
ca.com
download.mcafee.com
downloads-eu1.kaspersky-labs.com
downloads-us1.kaspersky-labs.com
downloads1.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads3.kaspersky-labs.com
rads.mcafee.com
downloads4.kaspersky-labs.com
f-secure.com
www.f-secure.com
kaspersky-labs.com
www.kaspersky-labs.com
www.kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
www.mcafee.com
networkassociates.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
www.sophos.com
www.symantec.com
www.trendmicro.com
updates.symantec.com
us.mcafee.com
viruslist.com
viruslist.ru
www.my-etrust.com
www.nai.com
www.networkassociates.com
kaspersky.com
my-etrust.com
dispatch.mcafee.com
nai.com
avp.ru
www.avp.ru
www.grisoft.com
grisoft.com
sandbox.norman.no
uk.trendmicro-europe.com
www.pandasoftware.com
customer.symantec.com
windowsupdate.microsoft.com
download.microsoft.com
downloads.microsoft.com
go.microsoft.com
ftp.f-secure.com
ftp.sophos.com
office.microsoft.com
support.microsoft.com
update.symantec.com
www.norman.com
vil.nai.com
alerta-antivirus.red.es
www.alerta-antivirus.es
www.vsantivirus.com
www.kaspersky.ru
kaspersky.ru
ftp.kasperskylab.ru
ftp.avp.ch
updates1.kaspersky-labs.com
updates3.kaspersky-labs.com
updates4.kaspersky-labs.com
updates2.kaspersky-labs.com
updates5.kaspersky-labs.com
ids.kaspersky-labs.com
www.eset.com
www.nod32-es.com
www.nod32.com
www.drweb.com
www.clamwin.com
free-av.com
www.free-av.com
www.ikarus.at
www.fortinet.com
www.hbedv.com
www.pandasoftware.es
www.bitdefender.com
www.sybari.com
www.sarc.com
v4.windowsupdate.microsoft.com
www.microsoft.com
www.preventix.net
www.antivirus.com.ar
www.ravantivirus.com
www.gecadnet.ro
www.globalhauri.com
www.avast.com
housecall.trendmicro.com
de.trendmicro-europe.com
www.softpedia.com
free.grisoft.com
antivirus.cai.com
www.drsolomon.com
www3.ca.com
housecall.antivirus.com
service1.symantec.com
www.zonelabs.com
zonelabs.com
www.perantivirus.us
www.antivirusgratis.com.es
www.clamav.com


Lisima-AO tente de terminer des processus relatifs à des antivirus ou de sécurité, tels que Process Explorer, Ethereal, TCPview, ou bintext.




http://www.smtechnologie.com