Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Quand il est exécuté, Helmut-A se copie dans :
%System%\mccm.exe
%System%\fedisk.com
N.B. : Helmut-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Helmut-A modifie ensuite les entrées de registre suivantes afin de se lancer à chaque démarrage de Windows :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\FixError = "c:\windows\system32\fedisk.com"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Winammp = "c:\windows\system32\mccm.exe"
Helmut-A se connecte à l'un de ces serveurs IRC (port 6667) :
miami.fl.us.undernet.org
geneva.ch.eu.undernet.org
oslo.no.eu.undernet.org
S'il y parvient, il rejoint un canal IRC et attend de recevoirs des commandes permettant de :
- Changer le pseudonyme IRC
- Rejoindre un autre canal
- Exécuter un fichier