Worm.VBS_Licu-A

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 31232 Octet(s)

Détails techniques:

Licu-A arrive habituellement, dans les systèmes, sous sa forme VBS.

Quand il est exécuté, il crée un fichier exécutable, au nom aléatoire, à la racine du lecteur C:.

Par exemple : C:\vKRpLzV3XrhY2H8.exe

Quand ce fichier est exécuté par le ver, il se copie sous les noms suivants :

%Temp%\LSASS.exe
%Temp%\SVCHOST.exe
%Temp%\Winword.exe
%Temp%\MSMSGS.exe

Il pourrait aussi tenter de se copier sous le nom C:\WINDOWS\Drivers\SEXO.pif.

Il crée aussi des copies de la forme VBS du ver :

%Temp%\bailando.vbe
%Temp%\OfficeHost.vbs
%Temp%\folder.htm
%Temp%\folder.htt

La forme VBS du ver consiste à crypter l'exécutable du ver et une routine polymorphique le décrypte, l'enregistre sur le disque et l'exécute. A chaque fois que Licu-A infecte une machine, il utilise une clé de cryptage différente.

Le ver crée les fichiers suivants pour sa propre utilisation :

C:\rep.ya
C:\rep.txt
%Temp%\desktop.ini

Licu-A ajoute les entrées de registre suivantes pour que ses fichiers .exe et .vbs soit lancés à chaque démarrage :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\NortonAntivirus = "%Temp%\LSASS.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NortonAntivirus = "%Temp%\LSASS.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\OfficeQuickAccess = "%Temp%\OfficeHost.vbs"

N.B. : Le ver détermine l'emplacement du dossier %Temp% de l'utilisateur en fonction du système d'exploitation. Généralement C:\Documents and Settings\{nom_d'utilisateur}\Local Settings\Temp ou C:\WINDOWS\TEMP.


Licu-A peut se répandre par e-mail de 2 façons. La première, il envoie des copies du ver en utilisant son propre moteur SMTP. Il utilise le serveur SMTP local de la machine qu'il trouve en consultant le registre :

HKCU\Software\Microsoft\Internet Account Manager\Accounts\00000001\SMTP Server

Il cherche des adresses e-mails en consultant tous les fichiers ayant les extensions suivantes :

.wab
.dbx
.eml
.doc
.htm*

Le message envoyé est celui-ci :

De : Boletin Humor Granma

Objet : Curiosidades en la red

Corps du message : Esta ves le traemos algo bien curioso a nuestros lectores ....

Pièce-jointe : bailando.vbe

La seconde façon de se répandre pour le ver est de se créer un papier peint par défaut dans Outlook Express :

HKCU\Identities\\Software\Microsoft\Outlook Express\5.0\Mail\Compose Use Stationery = "1"
HKCU\Identities\\Software\Microsoft\Outlook Express\5.0\Mail\Wide Stationery Name = "%Temp%\folder.htm"
HKCU\Identities\\Software\Microsoft\Outlook Express\5.0\Mail\Stationery Name = "%Temp%\folder.htm"

Cela a pour effet de copier le ver dans le fichier folder.htm qui sera automatiquement ajouté en pièce-jointe à tous les e-mails envoyés avec Outlook Express.


Licu-A se copie aussi sous le nom A:\Fordel.htt et crée un fichier A:\Desktop.ini afin d'exécuter le ver à chaque ouverture de la disquette.


Licu-A supprime toutes les valeurs des clé de registre suivantes, sauf les valeurs qu'il a créé :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunService
HKCU\Software\Microsoft\Windows\CurrentVersion\RunService
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx