Rapport d'incidents de virus

Par
Le 13 septembre 2000
 0
00044343-photo-virus.jpg
Dans notre rapport d’Oxygen3 24h-365j de cette semaine, nous allons tout d’abord analyser un code malveillant qui utilise deux moyens d’infection assez particuliers, puis un Cheval de Troie qui effectue des changements dans le Registre Windows, et enfin un virus d’amorçage multivolet.

Le premier de ces virus est Lokky.336, un virus résident de MS/Dos, qui infecte les fichiers exécutables dotés d’extensions .EXE. Il a deux moyens d'infection pour le moins étranges. Le premier s'appelle Cavity et exploite sa petite taille pour se copier à l’intérieur du fichier infecté. Le deuxième se nomme Full Stealth (Invisibilité maximale) ou « Disinfection on the fly » (Désinfection à la volée) et, tant que Lokky.336 est résident dans la mémoire, il s'élimine chaque fois que le fichier est ouvert et le ré-infecte dès qu’il est fermé. La raison de cette action est de rendre la détection plus difficile pendant tout le temps où Lokky.336 est résident mémoire.

Le second code malveillant que nous allons étudier maintenant est Trojan/PSW.Autodel. C’est un Cheval de Troie qui n’a qu’un seul but : fournir un accès à distance à d'autres systèmes. Pour atteindre son objectif, il va utiliser un fichier de 32768 octets, dont l’icône est identique à celle du format graphique .JPG. Lorsque ce fichier est exécuté, le Cheval de Troie s’auto-copie dans le répertoire C:WINDOWSSystem. Il procède également à quelques petits changements dans le registre Windows afin d'être sûr d’être présent chaque fois que le système est démarré (le Cheval de Troie est exécuté à chaque démarrage ou redémarrage du système).

Nous conclurons ce rapport d'incidents avec Deadboot.448, un virus d’amorçage multivolet, qui affecte les secteurs d’amorce du disque dur (Master Boot) et des disquettes (Boot), ainsi que les fichiers exécutables dotés d’extensions .EXE. Le virus infecte tout d'abord l’enregistrement d’amorçage principal du disque dur, puis il s’installe en résident mémoire et attend l’opportunité d’infecter les secteurs d’amorce de disquettes consultées. Résultat de l'infection : les répertoires du disque dur sont encodés par le virus et il est impossible d’en retirer une quelconque information, même après la désinfection.
Modifié le 18/09/2018 à 11h56

Les dernières actualités

scroll top