Virus : Rapport hebdomadaire

Panda Software
Publié le 06 septembre 2000 à 15h45
00044534-photo-logo-panda-software.jpg
Outre un programme créateur de virus résidents, Fathermac.39872, notre rapport cette semaine se penche sur deux virus de macro - W97M/Blaster.B et W97M/Claudio.A -, et sur un cheval de Troie.

W97M/Blaster.B est un virus de macro (appartenant au groupe W97M et à la famille Marker) qui infecte les documents de Microsoft Word 97, ainsi que le modèle global de documents NORMAL.dot que cette application utilise. Le 17 de chaque mois, il recherche le fichier MINNY.LOG dans le répertoire racine du disque dur. S'il ne le trouve pas, il insère une ligne de commande dans le fichier AutoExec.BAT, qui supprime la totalité des contenus (fichiers et dossiers) des lecteurs C:, D:, E: et F: , lorsque le système est ensuite redémarré. De plus, lorsque qu’un quelconque document infecté est exécuté ou ouvert, W97M/Blaster.B crée le fichier CONT.DEL dans le répertoire racine du disque dur.

Le deuxième virus de macro est W97M/Claudio.A. Outre infecter les documents de Microsoft Word 97 et son modèle global de documents, le virus neutralise la protection antivirus et empêche l'utilisateur d’activer ou de désactiver les macros contenues dans un document lorsque celui-ci est ouvert. De même, W97M/Claudio.A empêche l'accès à l’option « Macro » du menu « Outils » de Word.

Le troisième code malveillant examiné est Trojan/PSW.Pec.B, un Cheval de Troie dont le but est d’entrer, à distance, dans les systèmes informatiques d’autres utilisateurs. Pour se faire, il utilise un fichier dont l’icône correspond à une extension de fichiers graphiques (avec un . JPEG). Lorsque ce fichier est exécuté, le Cheval de Troie s'installe de lui-même dans le répertoire C: WINDOWS en tant que fichier appelé SXPLORER.EXE. Trojan/PSW.Pec.B se place dans le même répertoire que le fichier WIN.COM, à partir duquel il effectue ses attaques ou « infections ». Cette action permet au Cheval de Troie d’être exécuté chaque fois que le système est redémarré, sans qu’il n’y ait besoin de modifier le Registre Windows.

Ce rapport se termine avec Fathermac.39872, une application qui permet la création des virus résidents qui infectent les fichiers exécutables dotés d’extensions .COM. Le fichier qui actionne cette application s'appelle « LAVI.EXE » et a une taille de 39872 octets.
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles