Nom:W32/Hidrag.a
La date de la découverte:13/04/2005
Type:Infecteur de fichier
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Non
Taille du fichier:~ 36.352 Octets
Version VDF:6.30.00.93

 Général Méthode de propagation:
   • Mapped network drives


Les alias:
   •  Symantec: W32.Jeefo
   •  Mcafee: W32/Jeefo
   •  Kaspersky: Virus.Win32.Hidrag.a
   •  TrendMicro: PE_JEEFO.A
   •  F-Secure: Virus.Win32.Hidrag.a
   •  Sophos: W32/Jeefo-A
   •  Grisoft: Win32/Hidrag.A
   •  Eset: Win32/Jeefo.A
   •  Bitdefender: Win32.Jeefo.A


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier malveillant
   • Il modifie des registres




   

   Description

   W32/Hidrag.a is a non-dangerous memory resident virus that infects Win32 PE EXE files.

   The virus searches for files to infect and upon infection it encrypts part of the file.

   When an infected file is executed, it drops the first-generation infector in the Windows directory as svchost.exe, which is registered as "Power Manager" service (on Windows NT/2000/XP). The virus then executes the original file without manifesting itself in any way.

 Fichiers Le fichier suivant est créé:

%WINDIR%\svchost.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: W32/Hidrag.a

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\PowerManager]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\svchost.exe"
   • "DisplayName"="Power Manager"
   • "ObjectName"="LocalSystem"
   • "Description"="Manages the power save features of the computer."

– [HKLM\SYSTEM\CurrentControlSet\Services\PowerManager]
   • "Security"=%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\PowerManager\Enum]
   • "0"="Root\\LEGACY_POWERMANAGER\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Informations divers Mutex:
Il crée le Mutex suivant:
   • PowerManagerMutant


Chaîne de caractères:
Ensuite il contient la chaîne de caractères suivante:
   • Hidden Dragon virus. Born in a tropical swamp.

Description insérée par Daniel Constantin le mardi 3 avril 2007
Description mise à jour par Daniel Constantin le mardi 3 avril 2007

Retour . . . .