Page principale >Virus
Suite...
Suite...
Suite...
Suite...
Suite...
Hedong.A ou Donghe
W32.Hedong.A@mm (appellé aussi WORM_DONGHE.A ou W32/Hedong@MM ) est un ver qui utilise son propre serveur smtp pour se propager. Les dommages causés par ce virus sont importants.
Sujet : variables
Fichier joint: hello.exe ou hello.vbs
Taille: 49,152 bytes ou 2,301bytes
Une fois éxécuté, le ver essaye de se connecter à un de ces serveurs SMTP:
smtp.citiz.net
smtp.china.com
smtp.sina.com
smtp.263.net
smtp.sohu.com
smtp.163.net
smtp.163.com
Ensuite, il envoie un mail dont le sujet varie en fonction de l'heure d'envoi.
Si l'heure est divisble par 3, le fichier joint est:
Hello.exe
Si elle n'est pas divisible par 3, le fichier joint est Hello.vbs
De plus, le ver utilise une faille outlook ( en incluant un header mime incorrect) qui permet d'executer automatiquement le fichier sur les machines non patchées.
Il se copie dans votre dossier systeme en tant que Explorer.exe
Ce fichier va s"executer a chaque fois qu'un fichier de type exe s'ouvrira en modifiant la clé de registre:
HKEY_LOCAL_MACHINESoftwareCLASSESexefileshellopencommand
avec la valeur:
%System%Exporler.exe %1 %*
Si le fichier executé est hello.vbs, il se copie dans \%System%MSKernel.vbs et %Windows%Win32Dll.vbs.
Il ajoute la valeur:
MSKernel32 %System%MSKernel32.vbs
A la clé :
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Il ajoute la valeur:
Win32Dll %Windows%Win32Dll.vbs
A la clé:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
Il change la page de démarrage d 'internet explorer par http:/ /www.hziee.edu.cn
Enfin, Hello.vbs supprime tous les fichiers de type .exe, .dll, .dat, .doc, et .mp3
Pour se désinfecter:
Mettre à jour son anti virus
Faire un scan de votre pc
Supprimer tous les fichiers détectés en tant que W32.Hedong.A@mm ou WORM_DONGHE.A ou W32/Hedong@MM
Retablir les clé de registre modifiées
Rerstaurer les fichiers supprimés
Fichier joint: hello.exe ou hello.vbs
Taille: 49,152 bytes ou 2,301bytes
Une fois éxécuté, le ver essaye de se connecter à un de ces serveurs SMTP:
smtp.citiz.net
smtp.china.com
smtp.sina.com
smtp.263.net
smtp.sohu.com
smtp.163.net
smtp.163.com
Ensuite, il envoie un mail dont le sujet varie en fonction de l'heure d'envoi.
Si l'heure est divisble par 3, le fichier joint est:
Hello.exe
Si elle n'est pas divisible par 3, le fichier joint est Hello.vbs
De plus, le ver utilise une faille outlook ( en incluant un header mime incorrect) qui permet d'executer automatiquement le fichier sur les machines non patchées.
Il se copie dans votre dossier systeme en tant que Explorer.exe
Ce fichier va s"executer a chaque fois qu'un fichier de type exe s'ouvrira en modifiant la clé de registre:
HKEY_LOCAL_MACHINESoftwareCLASSESexefileshellopencommand
avec la valeur:
%System%Exporler.exe %1 %*
Si le fichier executé est hello.vbs, il se copie dans \%System%MSKernel.vbs et %Windows%Win32Dll.vbs.
Il ajoute la valeur:
MSKernel32 %System%MSKernel32.vbs
A la clé :
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Il ajoute la valeur:
Win32Dll %Windows%Win32Dll.vbs
A la clé:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
Il change la page de démarrage d 'internet explorer par http:/ /www.hziee.edu.cn
Enfin, Hello.vbs supprime tous les fichiers de type .exe, .dll, .dat, .doc, et .mp3
Pour se désinfecter:
Mettre à jour son anti virus
Faire un scan de votre pc
Supprimer tous les fichiers détectés en tant que W32.Hedong.A@mm ou WORM_DONGHE.A ou W32/Hedong@MM
Retablir les clé de registre modifiées
Rerstaurer les fichiers supprimés
Les + Lus Dans Cette Catégorie
Virus Xabot
Xabot est un ver qui essaye de se propager par Irc et peer-to-peer. Il possede aussi des fonctionnalités indetiques à un trojan, permettant de prendre controle d'un pc infecté à distance. L'existence du dossier wininit32.exe est une indication d'une infection possible.Suite...
Virus Hobble.F (alias Alcatap )
Hobble.F est une variante du ver de Hobble. Il essaye de se propager à travers le réseau de partage de KaZaA. Il s'envoie également aux adresses d'email qu'il recherche à partir des dossiers htm et html qu'il trouve dans le cache d'Internet Explorer, et à toutes les adresses dans le carnet d'adresses de Microsoft Outlook.Suite...
Virus SQLExp SQL Slammer responsable du ralentissement
Ce ver est le responsable du ralentissement actuel d'internet. Il rappelle Code red et semble aussi virulent que ce dernier. Il est indetecté par les anti virus type scanner car il exsite uniquement en memoire. Le ver envoie 376 bits au port 1434 udp - le port de service de résolution de serveur de SQL.Suite...
Virus Lirva alias Avril.A Lirva.b Lirva.a Avron.c
Lirva est un ver qui se propage par egalement IRC, ICQ, KaZaA et le réseau. Ce ver essaye de terminer les processus d'antivirus et de firewall. Il envoit par email les mots de passe cachés de gestion de connection de Windows 95/98/Me à l'auteur de virus.Suite...
Virus Cult.B alias Lanet
Cult.B est un ver qui utilise son propre moteur de smtp pour se propager. Les destinataires de l'email sont construits aléatoirement d'une liste de nom et d'un domaine choisi. Cult.B essaye également de se propager en utilisant le réseau de partage de KaZaA. De plus, le ver permet une prise de controle à distance du PC infecté.Suite...
Navigation Rapide
|
Astuces Webmaster Astuces WINDOWS Astuces WINDOWS XP Comment ça marche DVD / Secret Evenements Exploits Hacking / Sécurité | Hardware Jeux Vidéo linux News Script(php,java...) Telephonie/GSM Virus |
