0
Les premiers étudiés se nomment W97M/Gamlet.A et W97M/Nosn.A. Ces deux virus de macros qui appartiennent à la famille W97M, infectent les documents de Microsoft Word 97, ainsi que le modèle de document global NORMAL.dot utilisé par cette application.
Entre autres effets destructeurs, W97M/Gamlet.A désactive les options macros dans Word, affiche un message dans la barre d'état de Microsoft Word et installe une animation qui ne se manifeste que lorsque l'option « macros » est sélectionnée dans le menu « Outils ».
Loin d’être insignifiant, W97M/Nosn.A contient le code nécessaire pour s'auto-envoyer, par e-mail, dans un message contenant un document Word précédemment infecté. A l’instar de la plupart des virus de macros qui infectent Microsoft Word, W97M/Nosn.A désactive la protection antivirus des documents Word dotés de macros. De ce fait, lorsqu’un document Word contenant des macros est ouvert, la boîte de dialogue qui permet aux utilisateurs d’activer ou de désactiver les macros définies dans un document, ne sera pas affichée. Qui plus est, outre empêcher les utilisateurs de convertir des fichiers (lors de l’ouverture d’un document ou d’un modèle qui ne se trouve pas dans Word), W97M/Nosn.A sauvegarde automatiquement les changements qu’il apporte au modèle de document global NORMAL.dot. La charge destructive de ce virus consiste à afficher un certain nombre de fenêtres comportant un texte ou à insérer une adresse Internet ou un message de protestation dans le document.
Le troisième code malveillant de notre liste d’aujourd'hui se nomme Trojan/Ocnap. Il s’agit d’un cheval de Troie qui ressemble en tout point à un fichier d'installation de programme, sauf qu’il permet un accès externe à d'autres ordinateurs. Lorsqu’il est exécuté, Trojan/Ocnap s'installe dans le Répertoire Windows et ajoute deux lignes au début fichier système WIN.ini, afin qu’être sûr d’être activé chaque fois que le système est démarré
Nous terminerons ce rapport d'incidents de virus avec quatre vers qui se diffusent en utilisant les messageries électroniques :
I-Worm.WinExt se répand via Internet sous la forme d’un fichier attaché nommé TRYLT.exe. Lorsque ce fichier est exécuté, un message d'erreur s’affiche pour distraire l'utilisateur pendant que le ver infecte l'ordinateur. Du 11 au 31 juillet, I-Worm.WinExt envoie des vœux de bon anniversaire - composés de textes choisis au hasard à l'adresse e-mail suivante : nathalie.paget@francetelecom.fr
W32/Navidad reste résidant et s’affiche comme un procédé bien visible dans la liste des tâches actives. Il modifie plusieurs entrées de registres afin d’empêcher l’exécution de fichiers EXE dans le système. Pour se diffuser, W32/Navidad envoie des messages aux expéditeurs des messages non lus qui se trouvent dans la boîte de réception. Chacun d’eux inclura un fichier attaché contenant le ver.
I-Worm/Verona arrive par le biais d’un message e-mail contenant deux fichiers attachés appelés « Myjuliet.Chm » et « Myromeo.Exe ». L'objectif du code du ver est d’ouvrir le carnet d'adresses de la messagerie et d’envoyer à chaque adresse, un message incluant les fichiers reçus.
W32/Hybris envoie, avec chaque courrier électronique partant de l’ordinateur infecté, un message qui inclut une copie de lui-même. Outre cela, il « corrige » la bibliothèque WSOCK32.dll afin de contrôler les messages e-mails sortants.
