Rapport d'incidents de virus

Par Panda Software
le 18 octobre 2000 à 05h51
0
00044343-photo-virus.jpg
Notre bulletin d’Oxygen3 24h-365d d’aujourd'hui est consacré à trois codes malveillants fort différents : VBS/CoolNotepad.Worm, un ver doté d’une phénoménale capacité de propagation ; W97M/Seliuq.A, un virus de macro ; et un Cheval de Troie nommé Trojan/Parkinson.

Créé en Script Virtual Basic, VBS/CoolNotepad.Worm est un ver doté d’une énorme capacité de propagation, car il est transmis par IRC et par Microsoft Outlook. Lorsque le fichier COOL_NOTEPAD_DEMO.TXT.vbs (qui arrive en tant que pièce jointe à un message électronique ou via un canal IRC actif) est exécuté, le virus copie ce fichier dans le répertoire Windows SYSTEM. En outre, VBS/CoolNotepad.Worm crée quelques entrées dans le registre Windows pour être sûr d’être exécuté chaque fois que le système est démarré ou ré-initialisé, et pour cacher le bureau en même temps. Enfin, le ver crée un message e-mail qui sera envoyé à tous les noms qui se trouvent dans le carnet d'adresses. Le message inclut le fichier qui cause l'infection. Comme mentionné ci-dessus, cette dernière peut également avoir lieu lors de l'envoi de ce fichier via un canal IRC.

W97M/Seliuq.A est un virus de macro qui infecte les documents de Microsoft Word 97, ainsi que le modèle global NORMAL.dot que ce dernier utilise comme base pour tous les documents. Le virus crée un fichier appelé SYSTEMDOS dans le répertoire racine du disque C:. Ce fichier contient un journal où il stocke les noms de tous les répertoires qu'il a infectés. Quand le fichier SYSTEMDOS atteint une taille de 1024 bits, W97M/Seliuq.A active sa charge, qui consiste à supprimer tous les fichiers dans les répertoires qu'il a infectés. Heureusement, en raison d'une erreur fondamentale, il n'est pas capable d'effectuer sa tâche destructrice.

De plus, à l’instar des autres virus de macro qui infectent Word 97, W97M/Seliuq désactive une série d’éléments dans Word, tels que la barre de boutons pour Visual Basic ou la protection antivirus des macros.

Nous terminerons notre tour d’horizon avec Trojan/Parkinson, un Cheval de Troie qui prend l'aspect de l'installation d'un jeu appelé Sextris ou Sexgame. Après avoir demandé aux utilisateurs d’entrer leur nom de famille et leur prénom, il crée les fichiers « VIRUS.bat » et « MAJO.com » dans le répertoire TEMP. Lorsque le fichier VIRUS.bat est exécuté, il supprime les fichiers d’amorçage (IO.SYS, MSDOS.SYS, COMMAND.COM, CONFIG.SYS, AutoExec.BAT...) ainsi que d'autres fichiers de Windows et du répertoire COMMAND. Lorsque Trojan/Parkinson a fini ses tâches destructrices, une boîte de dialogue apparaît avec une photo de l'auteur supposé du virus.
Modifié le 01/06/2018 à 15h36
Mots-clés :
Cet article vous a intéressé ?
Abonnez-vous à la newsletter et recevez chaque jour, le meilleur de l’actu high-tech et du numérique.
Sélection Clubic VPN 2019

Les dernières actualités

Apple : de nouveaux MacBook (Air, Pro...) d'ici la fin d'année
Volkswagen investit 900 millions d'euros pour la production de batteries, avec Northvolt AB
Déjà un million de Honor 20 écoulés... rien qu'en Chine
Adobe : un prototype d'IA capable de détecter les visages photoshopés
L'app Google pour Android s'essaie au mode sombre
Google explique sa politique d'extensions en réponse à la colère des bloqueurs de pub
Le cloud gaming pourrait doubler la consommation électrique d'un joueur
Conquête spatiale : l'activité solaire des 10 prochaines années favorable à l'exploration
Elon Musk présente les nouvelles tuiles solaires de toit Tesla au prix sacrifié
Honda dévoile la plateforme destinée à ses véhicules électriques Honda e
scroll top