_Helmut-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Quand il est exécuté, Helmut-A se copie dans :

%System%\mccm.exe
%System%\fedisk.com


N.B. : Helmut-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Helmut-A modifie ensuite les entrées de registre suivantes afin de se lancer à chaque démarrage de Windows :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\FixError = "c:\windows\system32\fedisk.com"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Winammp = "c:\windows\system32\mccm.exe"


Helmut-A se connecte à l'un de ces serveurs IRC (port 6667) :

miami.fl.us.undernet.org
geneva.ch.eu.undernet.org
oslo.no.eu.undernet.org


S'il y parvient, il rejoint un canal IRC et attend de recevoirs des commandes permettant de :

- Changer le pseudonyme IRC
- Rejoindre un autre canal
- Exécuter un fichier




http://www.blocus-zone.com/