_Litbot-C
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 18432 Octet(s)
Détails techniques:
A son exécution, Litbot-C dépose et exécute une copie de la porte dérobée dans le répertoire %System%, sous le même nom que le fichier d'origine. Après cette exécution, le fichier initial est détruit.
Afin d'être lancé à chaque démarrage de Windows, Litbot-C crée l'entrée de registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
syelimS-esreveR-troppuS = "%System%\{nom_du_malware}"
N.B. : Litbot-C détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Il crée l'entrée de registre suivante qui modifie les paramètres du pare-feu :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
%System%\{Malware file name} = "%System%\{nom_du_malware}:*:Enabled:WindowsUpdate"
Cette modification permet à Litbot-C de se connecter à un serveur IRC et de joindre un canal spécifique, en attente de commandes permettant à un attaquant de :
- Télécharger des fichiers
- Mettre à jour la porte dérobée
- Désinstaller la porte dérobée du système infecté
- Enregistrer les touches tappées au clavier et enregistrer les données obtenues dans un fichier ur1.txt
- Envoyer ce fichier texte sur une adresse e-mail spécifique en utilisant son propre moteur SMTP
Taille: 18432 Octet(s)
Détails techniques:
A son exécution, Litbot-C dépose et exécute une copie de la porte dérobée dans le répertoire %System%, sous le même nom que le fichier d'origine. Après cette exécution, le fichier initial est détruit.
Afin d'être lancé à chaque démarrage de Windows, Litbot-C crée l'entrée de registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
syelimS-esreveR-troppuS = "%System%\{nom_du_malware}"
N.B. : Litbot-C détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Il crée l'entrée de registre suivante qui modifie les paramètres du pare-feu :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
%System%\{Malware file name} = "%System%\{nom_du_malware}:*:Enabled:WindowsUpdate"
Cette modification permet à Litbot-C de se connecter à un serveur IRC et de joindre un canal spécifique, en attente de commandes permettant à un attaquant de :
- Télécharger des fichiers
- Mettre à jour la porte dérobée
- Désinstaller la porte dérobée du système infecté
- Enregistrer les touches tappées au clavier et enregistrer les données obtenues dans un fichier ur1.txt
- Envoyer ce fichier texte sur une adresse e-mail spécifique en utilisant son propre moteur SMTP
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
