Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 66440 Octet(s)
Détails techniques:
A son exécution, Harwig-B dépose une copie temporaire du ver dans le répertoire racine. Puis il vérifie l'existence de la clef de registre suivante, pour voir si MSN Messenger est installé :
HKEY_LOCAL_MACHINE\Software\Microsoft\MSNMessenger
Une fois MSN Messenger trouvé, Harwig-B l'exécute et tente de se logger. Si il y parvient, il envoie un message contenant un lien pointant vers le ver.
Si MSN Messenger n'est pas installé sur le système, Harwig-B dépose une copie du ver dans le dossier %Windir% sous le nom abcdefg.exe.
Il ajoute alors l'entrée de registre suivante afin d'être lancer à chaque démarrage :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
FILE = "%Windir%\abcdefg.exe"
Harwig-B dépose également un bot IRC du nom de proxy.exe dans le dossier %Windir%.
N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.
Le message envoyé aux utilisateurs connectés sur MSN Messenger est le suivant :
guess what I found (h) http:\www.cao{censuré}cs.nl\pic_14455.PIF
Le lien pointe vers une copie du ver.
Il peut aussi envoyer l'un de ces messages :
- guess i won the bet... :D
- oops sorry I’m talking to the wrong person: $