0
Cette semaine, le rapport d'incidents d'Oxygen3 24h-365d se penche sur deux Chevaux de Troie et sur W32/Coke22231.A, un virus polymorphe doté de plusieurs niveaux de chiffrement.
Non seulement W32/Coke22231.A est un virus polymorphe multifilière lent, mais il a, en plus, plusieurs couches ou niveaux de chiffrement. Pour pouvoir opérer, il installe tout d’abord sa routine de chiffrement polymorphe dans la section de code des fichiers PE, puis la divise en huit parties. Il a trois manières de se diffuser : l’une d’elle est d’infecter des documents de Microsoft Word 97 ; une autre est d’infecter des fichiers PE (Windows EXE) ; et la troisième est de s'auto-envoyer comme fichier attaché à des messages électroniques. Outre désactiver la protection antivirus que Word établit dans tous les documents qui contiennent des macros définies, W32/Coke22231.A essaie de supprimer tous les programmes antivirus installés sur le disque dur.
Le premier cheval de Troie dont nous allons parler aujourd'hui s’appelle Trojan/PSW.StealthD. Il est utilisé pour obtenir un accès à distance à d'autres ordinateurs. Pour atteindre son but, il se sert d’un dossier de 65536 octets, doté d’une icône de fichier graphique JPEG. Lors de l’infection, et lorsqu’il s'installe dans le système, le cheval de Troie crée un fichier, appelé SPOOLSRV.EXE, dans le répertoire C: WINDOWS. Ce fichier sera exécuté chaque fois que le système sera démarré ou redémarré en raison des modifications que trojan/PSW.StealthD effectue dans le Registre Windows.
Nous terminons ce rapport avec Trojan/Varo31, qui est prévu pour effacer certains fichiers et répertoires du système. Cependant, en raison de bogues détectés dans son code, il s’avère que le virus ne peut pas effectuer cette action. Ce cheval de Troie apparaît sur le système qu'il attaque sous la forme d’un fichier appelé QBASIC.EXE. Une fois exécuté, ce dernier supprime le fichier COMMAND.COM (interprèteur de commande), qu’il trouve dans le répertoire Windows.
Non seulement W32/Coke22231.A est un virus polymorphe multifilière lent, mais il a, en plus, plusieurs couches ou niveaux de chiffrement. Pour pouvoir opérer, il installe tout d’abord sa routine de chiffrement polymorphe dans la section de code des fichiers PE, puis la divise en huit parties. Il a trois manières de se diffuser : l’une d’elle est d’infecter des documents de Microsoft Word 97 ; une autre est d’infecter des fichiers PE (Windows EXE) ; et la troisième est de s'auto-envoyer comme fichier attaché à des messages électroniques. Outre désactiver la protection antivirus que Word établit dans tous les documents qui contiennent des macros définies, W32/Coke22231.A essaie de supprimer tous les programmes antivirus installés sur le disque dur.
Le premier cheval de Troie dont nous allons parler aujourd'hui s’appelle Trojan/PSW.StealthD. Il est utilisé pour obtenir un accès à distance à d'autres ordinateurs. Pour atteindre son but, il se sert d’un dossier de 65536 octets, doté d’une icône de fichier graphique JPEG. Lors de l’infection, et lorsqu’il s'installe dans le système, le cheval de Troie crée un fichier, appelé SPOOLSRV.EXE, dans le répertoire C: WINDOWS. Ce fichier sera exécuté chaque fois que le système sera démarré ou redémarré en raison des modifications que trojan/PSW.StealthD effectue dans le Registre Windows.
Nous terminons ce rapport avec Trojan/Varo31, qui est prévu pour effacer certains fichiers et répertoires du système. Cependant, en raison de bogues détectés dans son code, il s’avère que le virus ne peut pas effectuer cette action. Ce cheval de Troie apparaît sur le système qu'il attaque sous la forme d’un fichier appelé QBASIC.EXE. Une fois exécuté, ce dernier supprime le fichier COMMAND.COM (interprèteur de commande), qu’il trouve dans le répertoire Windows.
