Virus : Rapport hebdomadaire

Outre un programme créateur de virus résidents, Fathermac.39872, notre rapport cette semaine se penche sur deux virus de macro - W97M/Blaster.B et W97M/Claudio.A -, et sur un cheval de Troie.

W97M/Blaster.B est un virus de macro (appartenant au groupe W97M et à la famille Marker) qui infecte les documents de Microsoft Word 97, ainsi que le modèle global de documents NORMAL.dot que cette application utilise. Le 17 de chaque mois, il recherche le fichier MINNY.LOG dans le répertoire racine du disque dur. S'il ne le trouve pas, il insère une ligne de commande dans le fichier AutoExec.BAT, qui supprime la totalité des contenus (fichiers et dossiers) des lecteurs C:, D:, E: et F: , lorsque le système est ensuite redémarré. De plus, lorsque qu’un quelconque document infecté est exécuté ou ouvert, W97M/Blaster.B crée le fichier CONT.DEL dans le répertoire racine du disque dur.

Le deuxième virus de macro est W97M/Claudio.A. Outre infecter les documents de Microsoft Word 97 et son modèle global de documents, le virus neutralise la protection antivirus et empêche l'utilisateur d’activer ou de désactiver les macros contenues dans un document lorsque celui-ci est ouvert. De même, W97M/Claudio.A empêche l'accès à l’option « Macro » du menu « Outils » de Word.

Le troisième code malveillant examiné est Trojan/PSW.Pec.B, un Cheval de Troie dont le but est d’entrer, à distance, dans les systèmes informatiques d’autres utilisateurs. Pour se faire, il utilise un fichier dont l’icône correspond à une extension de fichiers graphiques (avec un . JPEG). Lorsque ce fichier est exécuté, le Cheval de Troie s'installe de lui-même dans le répertoire C: WINDOWS en tant que fichier appelé SXPLORER.EXE. Trojan/PSW.Pec.B se place dans le même répertoire que le fichier WIN.COM, à partir duquel il effectue ses attaques ou « infections ». Cette action permet au Cheval de Troie d’être exécuté chaque fois que le système est redémarré, sans qu’il n’y ait besoin de modifier le Registre Windows.

Ce rapport se termine avec Fathermac.39872, une application qui permet la création des virus résidents qui infectent les fichiers exécutables dotés d’extensions .COM. Le fichier qui actionne cette application s'appelle « LAVI.EXE » et a une taille de 39872 octets.