Troj_Harbag-X
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 3504 Octet(s)
Détails techniques:
Il peut être téléchargé sur une machine déjà compromise via le cheval de Troie de la famille Glieder.
Lorsqu'il est exécuté, Harbag-X recherche la clé de registre suivante pour vérifier que le système n'est pas déjà infecté :
HKCU\Software\zseewr\zseewr
Si la clé existe déjà, Harbag-X ne scannera pas les disques locaux, il tentera seulement d'uploader une collection d'adresse de messagerie électronique à un domaine distant.
Harbag-X recherche les adresses e-mail dans les fichiers ayant l'extension suivante :
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
Harbag-X évite de recueillir les adresses possédant l'une des chaînes de caractères suivantes :
@avp.
@foo
@iana
@messagelab
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
f-secur
feste
free-av
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
mts@lebanon-online.com.lb
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip
Harbag-X publie la liste des adresses e-mail collectées sur un serveur web distant. Il dépose et exécute un fichier nommé "a.bat" dans son répertoire courant.
Le fichier batch supprime alors Harbag-X et lui-même.
Une fois terminé, Harbag-X crée la clé de registre suivante :
HKCU\Software\zseewr\zseewr
Taille: 3504 Octet(s)
Détails techniques:
Il peut être téléchargé sur une machine déjà compromise via le cheval de Troie de la famille Glieder.
Lorsqu'il est exécuté, Harbag-X recherche la clé de registre suivante pour vérifier que le système n'est pas déjà infecté :
HKCU\Software\zseewr\zseewr
Si la clé existe déjà, Harbag-X ne scannera pas les disques locaux, il tentera seulement d'uploader une collection d'adresse de messagerie électronique à un domaine distant.
Harbag-X recherche les adresses e-mail dans les fichiers ayant l'extension suivante :
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
Harbag-X évite de recueillir les adresses possédant l'une des chaînes de caractères suivantes :
@avp.
@foo
@iana
@messagelab
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
f-secur
feste
free-av
gold-certs@
help@
icrosoft
info@
kasp
linux
listserv
local
mts@lebanon-online.com.lb
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip
Harbag-X publie la liste des adresses e-mail collectées sur un serveur web distant. Il dépose et exécute un fichier nommé "a.bat" dans son répertoire courant.
Le fichier batch supprime alors Harbag-X et lui-même.
Une fois terminé, Harbag-X crée la clé de registre suivante :
HKCU\Software\zseewr\zseewr
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
