Page principale >Virus
Suite...
Suite...
Suite...
Suite...
Suite...
Virus Heovin
Heovin est un ver qui utilise Microsoft Outlook pour s'envoyer à tous les contacts du carnet d'adresses de Windows. Il essaye d'envoyer une copie de lui-même à d'autres utilisateurs de mIRC. Il a également des possibilités secrètes qui permet à un intrus de commander à distance un ordinateur infecté.
Lorsqu'il est executé:
Il se copie:
C:\%Windir%\Start menu\programs\startup\Dosreg.com. L'attribut du dossier est placé à caché.
C:\%Temp%\funnyflush.pif. L'attribut du dossier est placé à caché.
Il ajoute la valeur:
MSKernel32 C:\%Windows%\Start menu\programs\startup\Dosreg.com
à un des clefs suivantes:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Il ajoute également les valeurs:
MSSetup [un nombre]
MSQM 0
à la clef:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer
Il change alors les données de valeur de la page de demarrage dans la clef:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
à
http://user1.7host.com/lupinIII/updates/relist.asp?fsdf=sdjk&xc=[lettres aléatoire]
Heovin crée un fichier Script.ini dans le dossier de mIRC. Il essaye alors d'envoyer C:\%Temp%\Funnyflush.pif à d'autres utilisateurs de mIRC.
il s'envoit ensuite a tous les contacts trouvés dans le carnet d'adresse de microsoft Outlook
Sujet: une de ces deux lignes:
Flash funny pic
Check This update
Message: Check dis out!
Attachement: Funnyflush.pif
Le ver crée un fichier appelé ~dP00Z1.tmp dans le dossier C:\%Temp%. Ce fichier est employé pour stocker le port TCP que le ver emploie pour se connecter. Le ver envoie ce fichier, ainsi qu'une autre information de la machine infectée, à l'email de l'intrus. Après que Heovin soit installé, il attend des commandes du client à distance. Les commandes permettent à l'intrus d'effectuer les actions suivantes:
Changez le port de TCP que le ver emploie pour se connecter à l'intrus
Envoyez les informations système et réseau à l'intrus
Le téléchargement à partir de l'ordinateur principal et vers cet ordinateur
Prise de control total du système de fichiers Énumérer, supprimer, ou executer les dossiers du choix de l'intrus Effectuez les actions genantes, telles que changer les arrangements de bureau de papier peint, ouvrir et fermer la commande CD-ROM, et ainsi de suite
Pour se désinfecter:
1. Mettez à jour les définitions de votre anti-virus. 2. Remettez en marche la machine en mode sans echec. 3. Scannez votre système, et supprimez tous les fichiers qui sont détectés comme Heovin ou IRC.Worm.gen. 4. Supprimez les valeurs que le ver a ajoutées aux clefs de registre.
Il se copie:
C:\%Windir%\Start menu\programs\startup\Dosreg.com. L'attribut du dossier est placé à caché.
C:\%Temp%\funnyflush.pif. L'attribut du dossier est placé à caché.
Il ajoute la valeur:
MSKernel32 C:\%Windows%\Start menu\programs\startup\Dosreg.com
à un des clefs suivantes:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Il ajoute également les valeurs:
MSSetup [un nombre]
MSQM 0
à la clef:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer
Il change alors les données de valeur de la page de demarrage dans la clef:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
à
http://user1.7host.com/lupinIII/updates/relist.asp?fsdf=sdjk&xc=[lettres aléatoire]
Heovin crée un fichier Script.ini dans le dossier de mIRC. Il essaye alors d'envoyer C:\%Temp%\Funnyflush.pif à d'autres utilisateurs de mIRC.
il s'envoit ensuite a tous les contacts trouvés dans le carnet d'adresse de microsoft Outlook
Sujet: une de ces deux lignes:
Flash funny pic
Check This update
Message: Check dis out!
Attachement: Funnyflush.pif
Le ver crée un fichier appelé ~dP00Z1.tmp dans le dossier C:\%Temp%. Ce fichier est employé pour stocker le port TCP que le ver emploie pour se connecter. Le ver envoie ce fichier, ainsi qu'une autre information de la machine infectée, à l'email de l'intrus. Après que Heovin soit installé, il attend des commandes du client à distance. Les commandes permettent à l'intrus d'effectuer les actions suivantes:
Changez le port de TCP que le ver emploie pour se connecter à l'intrus
Envoyez les informations système et réseau à l'intrus
Le téléchargement à partir de l'ordinateur principal et vers cet ordinateur
Prise de control total du système de fichiers Énumérer, supprimer, ou executer les dossiers du choix de l'intrus Effectuez les actions genantes, telles que changer les arrangements de bureau de papier peint, ouvrir et fermer la commande CD-ROM, et ainsi de suite
Pour se désinfecter:
1. Mettez à jour les définitions de votre anti-virus. 2. Remettez en marche la machine en mode sans echec. 3. Scannez votre système, et supprimez tous les fichiers qui sont détectés comme Heovin ou IRC.Worm.gen. 4. Supprimez les valeurs que le ver a ajoutées aux clefs de registre.
Les + Lus Dans Cette Catégorie
Virus Xabot
Xabot est un ver qui essaye de se propager par Irc et peer-to-peer. Il possede aussi des fonctionnalités indetiques à un trojan, permettant de prendre controle d'un pc infecté à distance. L'existence du dossier wininit32.exe est une indication d'une infection possible.Suite...
Virus Hobble.F (alias Alcatap )
Hobble.F est une variante du ver de Hobble. Il essaye de se propager à travers le réseau de partage de KaZaA. Il s'envoie également aux adresses d'email qu'il recherche à partir des dossiers htm et html qu'il trouve dans le cache d'Internet Explorer, et à toutes les adresses dans le carnet d'adresses de Microsoft Outlook.Suite...
Virus SQLExp SQL Slammer responsable du ralentissement
Ce ver est le responsable du ralentissement actuel d'internet. Il rappelle Code red et semble aussi virulent que ce dernier. Il est indetecté par les anti virus type scanner car il exsite uniquement en memoire. Le ver envoie 376 bits au port 1434 udp - le port de service de résolution de serveur de SQL.Suite...
Virus Lirva alias Avril.A Lirva.b Lirva.a Avron.c
Lirva est un ver qui se propage par egalement IRC, ICQ, KaZaA et le réseau. Ce ver essaye de terminer les processus d'antivirus et de firewall. Il envoit par email les mots de passe cachés de gestion de connection de Windows 95/98/Me à l'auteur de virus.Suite...
Virus Cult.B alias Lanet
Cult.B est un ver qui utilise son propre moteur de smtp pour se propager. Les destinataires de l'email sont construits aléatoirement d'une liste de nom et d'un domaine choisi. Cult.B essaye également de se propager en utilisant le réseau de partage de KaZaA. De plus, le ver permet une prise de controle à distance du PC infecté.Suite...
Navigation Rapide
|
Astuces Webmaster Astuces WINDOWS Astuces WINDOWS XP Comment ça marche DVD / Secret Evenements Exploits Hacking / Sécurité | Hardware Jeux Vidéo linux News Script(php,java...) Telephonie/GSM Virus |
