Rapport d'incidents de virus

18 septembre 2018 à 11h56
0
00044343-photo-virus.jpg
Dans notre rapport d’Oxygen3 24h-365j de cette semaine, nous allons tout d’abord analyser un code malveillant qui utilise deux moyens d’infection assez particuliers, puis un Cheval de Troie qui effectue des changements dans le Registre Windows, et enfin un virus d’amorçage multivolet.

Le premier de ces virus est Lokky.336, un virus résident de MS/Dos, qui infecte les fichiers exécutables dotés d’extensions .EXE. Il a deux moyens d'infection pour le moins étranges. Le premier s'appelle Cavity et exploite sa petite taille pour se copier à l’intérieur du fichier infecté. Le deuxième se nomme Full Stealth (Invisibilité maximale) ou « Disinfection on the fly » (Désinfection à la volée) et, tant que Lokky.336 est résident dans la mémoire, il s'élimine chaque fois que le fichier est ouvert et le ré-infecte dès qu’il est fermé. La raison de cette action est de rendre la détection plus difficile pendant tout le temps où Lokky.336 est résident mémoire.

Le second code malveillant que nous allons étudier maintenant est Trojan/PSW.Autodel. C’est un Cheval de Troie qui n’a qu’un seul but : fournir un accès à distance à d'autres systèmes. Pour atteindre son objectif, il va utiliser un fichier de 32768 octets, dont l’icône est identique à celle du format graphique .JPG. Lorsque ce fichier est exécuté, le Cheval de Troie s’auto-copie dans le répertoire C:WINDOWSSystem. Il procède également à quelques petits changements dans le registre Windows afin d'être sûr d’être présent chaque fois que le système est démarré (le Cheval de Troie est exécuté à chaque démarrage ou redémarrage du système).

Nous conclurons ce rapport d'incidents avec Deadboot.448, un virus d’amorçage multivolet, qui affecte les secteurs d’amorce du disque dur (Master Boot) et des disquettes (Boot), ainsi que les fichiers exécutables dotés d’extensions .EXE. Le virus infecte tout d'abord l’enregistrement d’amorçage principal du disque dur, puis il s’installe en résident mémoire et attend l’opportunité d’infecter les secteurs d’amorce de disquettes consultées. Résultat de l'infection : les répertoires du disque dur sont encodés par le virus et il est impossible d’en retirer une quelconque information, même après la désinfection.
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Cegos e-learning et Thales s'associent
Le e-learning d’Or
Le e-learning d’après iProgress
L’offre ASP e-learning de Synergie 3R
CDC IXIS 1er prix des e-learning d’Or
CPU Stability Test
Alliance Nokia / EMI dans le téléchargement de sonneries
Union sacrée entre Sega et Motorola autour des téléphones WAP
Objectif WAP pour le constructeur français Alcatel
EPOC 6 sera dans les poches an troisième trimestre 2000
Haut de page