Dans ce bulletin hebdomadaire, nous avons rassemblé pour vous tous ce que vous devez savoir sur un cheval de Troie backdoor et deux virus de macro, l’un affectant
Word 97 et l'autre s’attaquant à Excel 97.
En tête nous avons donc Trojan/Netbus.160 qui est, comme beaucoup d'autres chevaux de Troie, conçu pour prendre le contrôle d'un
ordinateur distant en permettant à un utilisateur malveillant d'accéder à la machine en question par le biais d’une connexion IP (Internet Protocol). Capable de se propager via des disquettes, CD-ROM, serveurs
FTP, etc., Trojan/Netbus.160 se compose de deux programmes : un programme serveur qui est exécuté sur l'ordinateur infecté et un programme client dont l'utilisateur malveillant se sert pour se connecter aux machines distantes sur lesquelles le serveur est installé. Ce cheval de Troie particulier masque la partie serveur de son programme dans une bibliothèque de liens dynamiques appelée KEYHOOK.DLL. Si l’on se trouve du côté client du programme, il est possible d'effectuer un certain nombre d'actions sur l'ordinateur visé, telles qu'ouvrir et refermer le tiroir CD, exécuter des programmes, changer des fonctions du bouton de la souris, lancer des fichiers sons, enlever des informations utilisateur et des fichiers confidentiels, enregistrer des clefs, envoyer et recevoir des messages, etc.
Bien différent, W97M/Osvald.A est un virus de macro qui infecte les documents de Word 97, ainsi que le modèle de documents global qu'ils emploient (NORMAL.dot). L'infection qui se produit lorsque des documents ou des modèles sont ouverts, n’est pas très conséquente ; hormis faire des copies de lui-même, le virus n’a aucun effet nocif.
Le dernier, et non le moindre, à l’étude aujourd’hui est X97M/Laroux.DI, un virus de macro qui infecte les documents d'Excel 97. Quand l'infection a lieu, le virus désactive la caractéristique de régénération de l'écran dans Excel, ce qui signifie que le véritable contenu de la feuille de travail ne s’affiche pas à l'écran. C’est ainsi que le virus parvient à passer inaperçu, l'utilisateur ne se rendant pas compte qu’il se passe quoi que ce soit d'inhabituel.
Activé à chaque fois qu'un fichier Excel est ouvert, X97M/Laroux.DI crée dans ce dernier un nouveau livre qu’il nomme PLDT.XLS. A partir de ce moment-là, tous les livres Excel que l’utilisateur ouvrira seront infectés. Pour se diffuser, le virus se sert de tous les moyens par lesquels les fichiers Excel infectés peuvent être transmis.
Publicité
( les afficher maintenant )