info virus

[jlp]

VIRUS YAHA.E

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Yaha.E est un virus de mail qui se présente sous la forme d'un message dont

le titre, le corps et le nom du fichier attaché sont aléatoires. Si le

fichier joint est exécuté, le virus se copie dans la poubelle de Windows

avec l'attribut "fichier caché", modifie la base de registres pour

s'exécuter automatiquement dès qu'un fichier .EXE est exécuté, puis s'envoie

automatiquement à toutes les adresses email récupérées dans le carnet

d'adresses Windows, les logiciels MSN Messenger, Yahoo Pager et ICQ, ainsi

que dans tous les fichiers du disque dont l'extension comporte les lettres

ht. Yaha.E tente enfin de désactiver les principaux antivirus et logiciels

de sécurité existants (voir la fiche complète). Pour s'en préserver, il faut

mettre à jour son antivirus ou s'assurer que Windows est configuré pour

afficher les extensions de tous les fichiers et supprimer tout message

suspect dont le fichier joint comporte l'extension .SCR ou .BAT. Un

utilitaire de désinfection est disponible (BitDefender) pour rechercher et

éliminer le virus.

http://www.secuser.com/alertes/2002/yahae.htm

[tangui]

[Bazuzeus]

Oui, et? Moi aussi je peux faire des copy/paste, mais l'intérêt c'est quoi?

 

These are very dangerous memory resident parasitic polymorphic viruses. They copy themselves to the system memory at address 9000:0000 or 8AA0:0000 and do not fix MCB list, that might halt PC. Then they hook INT 21h and write themselves to the end of .COM and .EXE files. Sometimes they print the screen (by INT 5 call), or halt the computer.

On May, 7th "Haifa.a" displays the message:

 

KIRYAT MOZKIN!!!

LOCAL PROCESS INDUS¿Uvs¿UurrrS DONE BY:

SIBEL ,TEACHES

HOW TO MANAGE SHEEP?

Thanks for using Turbo Anti Virus.

PLEASE JMP FE00:0

 

This virus writes to BAK files:

What is backup for anyway???

BackUp is usually unneccessary!

End..

 

and to DOC and TXT files:

What's 455260 MI COUNTACH 5000 CC???

Instead of reading this junk, think about it!

 

It also contains the texts:

DES of USA Y

COMSPEC=

the Great

 

"Haifa.b" writes to the .ASM and .PAS files a small source code:

.model small

.code

s: mov ax,310h

xor cx,cx

mov dx,80h

int 13h

end s

 

It also displays:

OOPS! Hope I didn't ruin anything!!!

Well, nobody reads those stupied DOCS anyway!

COMSPEC=HAIFA VIRUS V1.01

WRITTEN BY Y.S.

GUEST STARS: T.S. & I.F.

MADE IN ISRAEL

I AM TIRED. PLEASE WAKE ME UP ON TUE 12.4.3456

PRESS RESET TO CONTINUE...

 

and contains the text:

CONST VIRUS='HAIFA';

[nico_be]

Je sais que ça risque pas d'interesser grand monde, mais faites gaffe si vous trouver dans votre boîte un mail intitulé "a very funny game", d'ailleurs si il est dans votre boîte c'est même certainement trop tard, il utilise une faille d'outlook pour entrer, rien que le fait de le visualiser sans l'ouvrir suffit.... son nom c'est I-Worm.Klez.h...je l'ai chopé et je l'ai vraiment pas trouvé funny moi.

 

Nico

[tangui]

vi je l'ai recu...en fait je recois noir de virus par mail en ce moment.... ms bon je n'utilise pas outlook (pas fou le tangui) et g un bon AV...En fait , je les recois ds ma boite aol que je ne peux ouvrir que via ie, et c marrant, qd tu cliques pour l'ouvrir, tu vois ds la barre d'@ de ie des lettres...