Worm.Win32_Harwig-B

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 66440 Octet(s)

Détails techniques:

A son exécution, Harwig-B dépose une copie temporaire du ver dans le répertoire racine. Puis il vérifie l'existence de la clef de registre suivante, pour voir si MSN Messenger est installé :

HKEY_LOCAL_MACHINE\Software\Microsoft\MSNMessenger

Une fois MSN Messenger trouvé, Harwig-B l'exécute et tente de se logger. Si il y parvient, il envoie un message contenant un lien pointant vers le ver.

Si MSN Messenger n'est pas installé sur le système, Harwig-B dépose une copie du ver dans le dossier %Windir% sous le nom abcdefg.exe.

Il ajoute alors l'entrée de registre suivante afin d'être lancer à chaque démarrage :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
FILE = "%Windir%\abcdefg.exe"


Harwig-B dépose également un bot IRC du nom de proxy.exe dans le dossier %Windir%.

N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.


Le message envoyé aux utilisateurs connectés sur MSN Messenger est le suivant :

guess what I found (h) http:\www.cao{censuré}cs.nl\pic_14455.PIF

Le lien pointe vers une copie du ver.

Il peut aussi envoyer l'un de ces messages :

- guess i won the bet... :D
- oops sorry I’m talking to the wrong person: $




http://www.generation-nt.com/