_Litbot-C

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 18432 Octet(s)

Détails techniques:

A son exécution, Litbot-C dépose et exécute une copie de la porte dérobée dans le répertoire %System%, sous le même nom que le fichier d'origine. Après cette exécution, le fichier initial est détruit.

Afin d'être lancé à chaque démarrage de Windows, Litbot-C crée l'entrée de registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
syelimS-esreveR-troppuS = "%System%\
{nom_du_malware}"

N.B. : Litbot-C détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Il crée l'entrée de registre suivante qui modifie les paramètres du pare-feu :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
%System%\{Malware file name} = "%System%\
{nom_du_malware}:*:Enabled:WindowsUpdate"

Cette modification permet à Litbot-C de se connecter à un serveur IRC et de joindre un canal spécifique, en attente de commandes permettant à un attaquant de :

- Télécharger des fichiers
- Mettre à jour la porte dérobée
- Désinstaller la porte dérobée du système infecté
- Enregistrer les touches tappées au clavier et enregistrer les données obtenues dans un fichier ur1.txt
- Envoyer ce fichier texte sur une adresse e-mail spécifique en utilisant son propre moteur SMTP




http://www.blocus-zone.com/