Rapport d'incidents de virus

Panda Software
22 novembre 2000 à 15h20
0
00044343-photo-virus.jpg
Cette semaine, notre bulletin d'Oxygen3 24h-365d vous propose de découvrir sept codes malveillants, à savoir deux virus de macros dotés de certaines caractéristiques communes, un cheval de Troie et quatre vers.

Les premiers étudiés se nomment W97M/Gamlet.A et W97M/Nosn.A. Ces deux virus de macros qui appartiennent à la famille W97M, infectent les documents de Microsoft Word 97, ainsi que le modèle de document global NORMAL.dot utilisé par cette application.

Entre autres effets destructeurs, W97M/Gamlet.A désactive les options macros dans Word, affiche un message dans la barre d'état de Microsoft Word et installe une animation qui ne se manifeste que lorsque l'option « macros » est sélectionnée dans le menu « Outils ».

Loin d’être insignifiant, W97M/Nosn.A contient le code nécessaire pour s'auto-envoyer, par e-mail, dans un message contenant un document Word précédemment infecté. A l’instar de la plupart des virus de macros qui infectent Microsoft Word, W97M/Nosn.A désactive la protection antivirus des documents Word dotés de macros. De ce fait, lorsqu’un document Word contenant des macros est ouvert, la boîte de dialogue qui permet aux utilisateurs d’activer ou de désactiver les macros définies dans un document, ne sera pas affichée. Qui plus est, outre empêcher les utilisateurs de convertir des fichiers (lors de l’ouverture d’un document ou d’un modèle qui ne se trouve pas dans Word), W97M/Nosn.A sauvegarde automatiquement les changements qu’il apporte au modèle de document global NORMAL.dot. La charge destructive de ce virus consiste à afficher un certain nombre de fenêtres comportant un texte ou à insérer une adresse Internet ou un message de protestation dans le document.

Le troisième code malveillant de notre liste d’aujourd'hui se nomme Trojan/Ocnap. Il s’agit d’un cheval de Troie qui ressemble en tout point à un fichier d'installation de programme, sauf qu’il permet un accès externe à d'autres ordinateurs. Lorsqu’il est exécuté, Trojan/Ocnap s'installe dans le Répertoire Windows et ajoute deux lignes au début fichier système WIN.ini, afin qu’être sûr d’être activé chaque fois que le système est démarré

Nous terminerons ce rapport d'incidents de virus avec quatre vers qui se diffusent en utilisant les messageries électroniques :

I-Worm.WinExt se répand via Internet sous la forme d’un fichier attaché nommé TRYLT.exe. Lorsque ce fichier est exécuté, un message d'erreur s’affiche pour distraire l'utilisateur pendant que le ver infecte l'ordinateur. Du 11 au 31 juillet, I-Worm.WinExt envoie des vœux de bon anniversaire - composés de textes choisis au hasard à l'adresse e-mail suivante : nathalie.paget@francetelecom.fr

W32/Navidad reste résidant et s’affiche comme un procédé bien visible dans la liste des tâches actives. Il modifie plusieurs entrées de registres afin d’empêcher l’exécution de fichiers EXE dans le système. Pour se diffuser, W32/Navidad envoie des messages aux expéditeurs des messages non lus qui se trouvent dans la boîte de réception. Chacun d’eux inclura un fichier attaché contenant le ver.

I-Worm/Verona arrive par le biais d’un message e-mail contenant deux fichiers attachés appelés « Myjuliet.Chm » et « Myromeo.Exe ». L'objectif du code du ver est d’ouvrir le carnet d'adresses de la messagerie et d’envoyer à chaque adresse, un message incluant les fichiers reçus.

W32/Hybris envoie, avec chaque courrier électronique partant de l’ordinateur infecté, un message qui inclut une copie de lui-même. Outre cela, il « corrige » la bibliothèque WSOCK32.dll afin de contrôler les messages e-mails sortants.
Modifié le 01/06/2018 à 15h36
0 réponses
0 utilisateurs
Suivre la discussion

Les actualités récentes les plus commentées

Linky : pour l'ANFR, les Equipements Radio des compteurs sont sans danger pour la santé
La France va créer son commandement militaire de l'espace
Bruno Le Maire prend officiellement position sur la cryptomonnaie Libra
Toyota : 50% des véhicules vendus au premier semestre étaient des hybrides-électriques
Evija : l'hypercar électrique de Lotus se charge en 9 petites minutes
La Zone 51 envahie ? L'armée américaine pourrait répondre par la force
Streaming vidéo : le coût écologique serait désastreux, selon l'association The Shift Project
La prochaine édition du CES va autoriser les sextoys féminins et interdire les
Neuralink : Musk annonce que la start-up est prête à tester sa technologie sur des humains
Trump suspend les sanctions Obama quant à la consommation des véhicules automobiles
scroll top