CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Heyya

Classe Email-Worm
Plateforme Win32
Description

Détails techniques

Il s'agit d'une propagation de virus qui est attachée à des messages électroniques, via des canaux IRC, infectant des fichiers PE EXE (fichiers exécutables Win32), des fichiers VBS et intégrant ses copies aux archives RAR et ARJ. Le ver lui-même est un fichier exécutable Win32 environ 28 Ko de longueur, et il infecte uniquement les machines Win32.

Le ver a de nombreux bugs et dans la plupart des cas, planter le système ou corrompre les fichiers tout en les infectant.

Installation

Lorsque le fichier infecté est exécuté, le ver se copie dans le répertoire système Windows avec l'un des noms sélectionnés de manière aléatoire dans la liste suivante en fonction du jour actuel:

napster.exe
newbillgates.exe
HonNaCigana2.exe
FreeSoftGSM.exe
game.exe
call.exe

Pour accéder ultérieurement à cette copie par son nom, le ver stocke ce nom dans la clé de Registre:

HKLMSOFTWAREInfluenzaLab
MicrosoftOE =% wormname%

où% wormname% est le nom de fichier de la copie de ver (il sera également utilisé ci-dessous).

Le ver se copie également dans le répertoire Windows avec le nom PornoChat.exe et enregistre ce fichier dans la clé d'exécution automatique du registre:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
MicrosoftOE =% WinDir% PornoChat.exe

Mise à jour

Le ver est capable de se mettre à jour. Pour ce faire, il définit la page de démarrage de MS Internet Explorer sur "www.volny.cz/radix16/flu/update.gif". Par conséquent, sur chaque Internet Explorer, ce fichier GIF est téléchargé sur la machine affectée. Le ver copie alors ce fichier avec le nom C: updateFLU.gif et le traite.

Cela ne peut pas être un fichier image GIF habituel – le ver recherche les données attachées aux données d'image GIF principales. Les données jointes ont un format spécial. Il peut contenir une liste d'adresses email (il est stocké dans le fichier C: Heyya.txt et est utilisé plus tard) et / ou l'image du fichier EXE.


Lien vers l'original