Rapport d'incidents de virus

18 octobre 2000 à 05h51
0
00044343-photo-virus.jpg
Notre bulletin d’Oxygen3 24h-365d d’aujourd'hui est consacré à trois codes malveillants fort différents : VBS/CoolNotepad.Worm, un ver doté d’une phénoménale capacité de propagation ; W97M/Seliuq.A, un virus de macro ; et un Cheval de Troie nommé Trojan/Parkinson.

Créé en Script Virtual Basic, VBS/CoolNotepad.Worm est un ver doté d’une énorme capacité de propagation, car il est transmis par IRC et par Microsoft Outlook. Lorsque le fichier COOL_NOTEPAD_DEMO.TXT.vbs (qui arrive en tant que pièce jointe à un message électronique ou via un canal IRC actif) est exécuté, le virus copie ce fichier dans le répertoire Windows SYSTEM. En outre, VBS/CoolNotepad.Worm crée quelques entrées dans le registre Windows pour être sûr d’être exécuté chaque fois que le système est démarré ou ré-initialisé, et pour cacher le bureau en même temps. Enfin, le ver crée un message e-mail qui sera envoyé à tous les noms qui se trouvent dans le carnet d'adresses. Le message inclut le fichier qui cause l'infection. Comme mentionné ci-dessus, cette dernière peut également avoir lieu lors de l'envoi de ce fichier via un canal IRC.

W97M/Seliuq.A est un virus de macro qui infecte les documents de Microsoft Word 97, ainsi que le modèle global NORMAL.dot que ce dernier utilise comme base pour tous les documents. Le virus crée un fichier appelé SYSTEMDOS dans le répertoire racine du disque C:. Ce fichier contient un journal où il stocke les noms de tous les répertoires qu'il a infectés. Quand le fichier SYSTEMDOS atteint une taille de 1024 bits, W97M/Seliuq.A active sa charge, qui consiste à supprimer tous les fichiers dans les répertoires qu'il a infectés. Heureusement, en raison d'une erreur fondamentale, il n'est pas capable d'effectuer sa tâche destructrice.

De plus, à l’instar des autres virus de macro qui infectent Word 97, W97M/Seliuq désactive une série d’éléments dans Word, tels que la barre de boutons pour Visual Basic ou la protection antivirus des macros.

Nous terminerons notre tour d’horizon avec Trojan/Parkinson, un Cheval de Troie qui prend l'aspect de l'installation d'un jeu appelé Sextris ou Sexgame. Après avoir demandé aux utilisateurs d’entrer leur nom de famille et leur prénom, il crée les fichiers « VIRUS.bat » et « MAJO.com » dans le répertoire TEMP. Lorsque le fichier VIRUS.bat est exécuté, il supprime les fichiers d’amorçage (IO.SYS, MSDOS.SYS, COMMAND.COM, CONFIG.SYS, AutoExec.BAT...) ainsi que d'autres fichiers de Windows et du répertoire COMMAND. Lorsque Trojan/Parkinson a fini ses tâches destructrices, une boîte de dialogue apparaît avec une photo de l'auteur supposé du virus.
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page