Virus : Rapport hebdomadaire

Panda Software
06 septembre 2000 à 15h45
0
00044534-photo-logo-panda-software.jpg
Outre un programme créateur de virus résidents, Fathermac.39872, notre rapport cette semaine se penche sur deux virus de macro - W97M/Blaster.B et W97M/Claudio.A -, et sur un cheval de Troie.

W97M/Blaster.B est un virus de macro (appartenant au groupe W97M et à la famille Marker) qui infecte les documents de Microsoft Word 97, ainsi que le modèle global de documents NORMAL.dot que cette application utilise. Le 17 de chaque mois, il recherche le fichier MINNY.LOG dans le répertoire racine du disque dur. S'il ne le trouve pas, il insère une ligne de commande dans le fichier AutoExec.BAT, qui supprime la totalité des contenus (fichiers et dossiers) des lecteurs C:, D:, E: et F: , lorsque le système est ensuite redémarré. De plus, lorsque qu’un quelconque document infecté est exécuté ou ouvert, W97M/Blaster.B crée le fichier CONT.DEL dans le répertoire racine du disque dur.

Le deuxième virus de macro est W97M/Claudio.A. Outre infecter les documents de Microsoft Word 97 et son modèle global de documents, le virus neutralise la protection antivirus et empêche l'utilisateur d’activer ou de désactiver les macros contenues dans un document lorsque celui-ci est ouvert. De même, W97M/Claudio.A empêche l'accès à l’option « Macro » du menu « Outils » de Word.

Le troisième code malveillant examiné est Trojan/PSW.Pec.B, un Cheval de Troie dont le but est d’entrer, à distance, dans les systèmes informatiques d’autres utilisateurs. Pour se faire, il utilise un fichier dont l’icône correspond à une extension de fichiers graphiques (avec un . JPEG). Lorsque ce fichier est exécuté, le Cheval de Troie s'installe de lui-même dans le répertoire C: WINDOWS en tant que fichier appelé SXPLORER.EXE. Trojan/PSW.Pec.B se place dans le même répertoire que le fichier WIN.COM, à partir duquel il effectue ses attaques ou « infections ». Cette action permet au Cheval de Troie d’être exécuté chaque fois que le système est redémarré, sans qu’il n’y ait besoin de modifier le Registre Windows.

Ce rapport se termine avec Fathermac.39872, une application qui permet la création des virus résidents qui infectent les fichiers exécutables dotés d’extensions .COM. Le fichier qui actionne cette application s'appelle « LAVI.EXE » et a une taille de 39872 octets.
Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

L'attaque d'un hôpital par ransomware pourrait tourner en homicide après la mort d'une patiente allemande
Clubic évolue (en douceur)
Allongé et endormi
Cyberpunk 2077 : CD Projekt RED dévoile les configurations PC requises
Microsoft Flight Simulator dévoile son plan de vol pour les futurs développements
Déjà en rupture de stock, les NVIDIA RTX 3080 se vendent à prix d'or sur eBay
PS5 : des jeux jusqu'à 79,99 €, soit 10 € de plus que sur l'ancienne génération ?!
La fin du pétrole ? Pour BP, la demande ne fera que baisser à partir de 2020
Étouffé par les sanctions américaines, Huawei également lâché par les fondeurs chinois
Xbox All Access : les tarifs français officialisés par Microsoft
scroll top