Rapport d'incidents de virus

18 octobre 2000 à 05h51
0
00044343-photo-virus.jpg
Notre bulletin d’Oxygen3 24h-365d d’aujourd'hui est consacré à trois codes malveillants fort différents : VBS/CoolNotepad.Worm, un ver doté d’une phénoménale capacité de propagation ; W97M/Seliuq.A, un virus de macro ; et un Cheval de Troie nommé Trojan/Parkinson.

Créé en Script Virtual Basic, VBS/CoolNotepad.Worm est un ver doté d’une énorme capacité de propagation, car il est transmis par IRC et par Microsoft Outlook. Lorsque le fichier COOL_NOTEPAD_DEMO.TXT.vbs (qui arrive en tant que pièce jointe à un message électronique ou via un canal IRC actif) est exécuté, le virus copie ce fichier dans le répertoire Windows SYSTEM. En outre, VBS/CoolNotepad.Worm crée quelques entrées dans le registre Windows pour être sûr d’être exécuté chaque fois que le système est démarré ou ré-initialisé, et pour cacher le bureau en même temps. Enfin, le ver crée un message e-mail qui sera envoyé à tous les noms qui se trouvent dans le carnet d'adresses. Le message inclut le fichier qui cause l'infection. Comme mentionné ci-dessus, cette dernière peut également avoir lieu lors de l'envoi de ce fichier via un canal IRC.

W97M/Seliuq.A est un virus de macro qui infecte les documents de Microsoft Word 97, ainsi que le modèle global NORMAL.dot que ce dernier utilise comme base pour tous les documents. Le virus crée un fichier appelé SYSTEMDOS dans le répertoire racine du disque C:. Ce fichier contient un journal où il stocke les noms de tous les répertoires qu'il a infectés. Quand le fichier SYSTEMDOS atteint une taille de 1024 bits, W97M/Seliuq.A active sa charge, qui consiste à supprimer tous les fichiers dans les répertoires qu'il a infectés. Heureusement, en raison d'une erreur fondamentale, il n'est pas capable d'effectuer sa tâche destructrice.

De plus, à l’instar des autres virus de macro qui infectent Word 97, W97M/Seliuq désactive une série d’éléments dans Word, tels que la barre de boutons pour Visual Basic ou la protection antivirus des macros.

Nous terminerons notre tour d’horizon avec Trojan/Parkinson, un Cheval de Troie qui prend l'aspect de l'installation d'un jeu appelé Sextris ou Sexgame. Après avoir demandé aux utilisateurs d’entrer leur nom de famille et leur prénom, il crée les fichiers « VIRUS.bat » et « MAJO.com » dans le répertoire TEMP. Lorsque le fichier VIRUS.bat est exécuté, il supprime les fichiers d’amorçage (IO.SYS, MSDOS.SYS, COMMAND.COM, CONFIG.SYS, AutoExec.BAT...) ainsi que d'autres fichiers de Windows et du répertoire COMMAND. Lorsque Trojan/Parkinson a fini ses tâches destructrices, une boîte de dialogue apparaît avec une photo de l'auteur supposé du virus.
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

Genshin Impact : la version PS5 arrive le 28 avril avec plusieurs améliorations
Acer Nitro 5 : un PC portable gaming 17.3
Votre nouvelle Smart TV Samsung à moins de 30€ avec la fibre Bouygues Telecom
Mercedes dévoile EQS, sa berline électrique de luxe et ses 770 km d'autonomie
L'excellent casque Bose 700 profite d'une promo immanquable chez Cdiscount
Bon plan VPN : Top des bons plans à saisir chez CyberGhost, NordVPN et Surfshark
Amazon revendique 200 millions d'abonnés à Prime
Télétravail : un PC Portable MSI Modern 14
Ferrari vise un premier modèle électrique en 2025
L'application sécurisée Wire lève 21 millions de dollars
Haut de page