Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 18432 Octet(s)
Détails techniques:
A son exécution, Litbot-C dépose et exécute une copie de la porte dérobée dans le répertoire %System%, sous le même nom que le fichier d'origine. Après cette exécution, le fichier initial est détruit.
Afin d'être lancé à chaque démarrage de Windows, Litbot-C crée l'entrée de registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
syelimS-esreveR-troppuS = "%System%\{nom_du_malware}"
N.B. : Litbot-C détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Il crée l'entrée de registre suivante qui modifie les paramètres du pare-feu :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
%System%\{Malware file name} = "%System%\{nom_du_malware}:*:Enabled:WindowsUpdate"
Cette modification permet à Litbot-C de se connecter à un serveur IRC et de joindre un canal spécifique, en attente de commandes permettant à un attaquant de :
- Télécharger des fichiers
- Mettre à jour la porte dérobée
- Désinstaller la porte dérobée du système infecté
- Enregistrer les touches tappées au clavier et enregistrer les données obtenues dans un fichier ur1.txt
- Envoyer ce fichier texte sur une adresse e-mail spécifique en utilisant son propre moteur SMTP