Nom:Worm/HappyTime.A.38
La date de la découverte:08/04/2008
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Non
Taille du fichier:33,719 Octets
Somme de contrôle MD5:2feb77bf21803dde0449fcf9e59b936d
Version VDF:7.00.03.132

 Général Méthode de propagation:
   • Email
   • Mapped network drives


Les alias:
   •  Mcafee: VBS/Haptime.gen@MM
   •  Kaspersky: Email-Worm.VBS.HappyTime
   •  F-Secure: VBS/Haptime.F
   •  Sophos: VBS/Haptime-Fam
   •  Panda: VBS/Help
   •  Eset: VBS/Haptime.E worm
   •  Bitdefender: Worm.VBS.HappyTime


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il emploie les vulnérabilités de software

 Fichiers Il s'autocopie dans les emplacements suivants:
   • C:\help.htm
   • C:\help.vbs
   • C:\Documents and Settings\help.hta
   • %WINDIR%\Untitled.htm



Il supprime les fichiers suivants:
   • *.exe
   • *.dll



Il peut corrompre les dossiers suivants :
   • %WINDIR%\Web\*.HTT
   • *.HTML
   • *.HTM
   • *.ASP
   • *.VBS

 Registre Les clés de registre suivantes sont ajoutée:

– HKCU\Software\Help\Count
– HKCU\Identities\%UserID%\Software\Microsoft\Outlook Express\5.0\
   Mail\
   • Compose Use Stationery = "1"
   • Message Send HTML = "1"
   • Stationery Name = "%WINDIR%\help.htm"

– HKCU\Control Panel\Desktop
   • WallPaper = %Windows%\HELP.HTM

– HKCU\Software\Help\FileName

 Email Il utilise Microsoft Outlook pour envoyer des emails. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est le compte Outlook de l'utilisateur.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.


Sujet:
Un des suivants:
   • Help
   • Fw:%le sujet original%



Corps:
–  Le corps est vide.


Pièce jointe:
Le nom de fichier de l'attachement est:
   • Untitled.htm

L'attachement est une copie du malware lui-même.

 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .htm
   • .vbs
   • .asp
   • .htt

Description insérée par Alexandru Dinu le mercredi 5 décembre 2007
Description mise à jour par Andrei Ivanes le mardi 16 septembre 2008

Retour . . . .