Nouveau rapport d'incidents de virus

Par Panda Software
le 28 novembre 2000 à 20h24
0
00045310-photo-insecte-virus.jpg
Notre bulletin d’Oxygen3 24h-365d d’aujourd’hui va nous permettre d’analyser quatre codes malveillants : deux chevaux de Troie, un virus de macros et un ver qui se propage par les canaux IRC.

Trojan/Ring0.B est un cheval de Troie qui utilise deux fichiers pour pénétrer à distance dans d’autres systèmes IT. L’un de ces fichiers se nomme RINGO.vxd et a une taille de 5682 octets. Le second porte plusieurs noms différents, dont WINDLL32.exe et MSRUNSRV.exe, et occupe un espace d’un peu plus de 47 Kb. Afin de ne pas éveiller les soupçons des utilisateurs, ces deux fichiers donnent l’illusion d’être liés à des applications courantes. Qui plus est, dès qu’ils sont tous deux installés, Trojan/Ring0.B entre une clef dans le Registre Windows.



Le deuxième cheval de Troie que nous étudions aujourd'hui se nomme Trojan/Twinshoe et entre dans le système qu’il veut infecter par le biais d’un fichier de 481699 octets. A l’instar de la plupart des chevaux de Troie, Trojan/Twinshoe s’auto-copie dans le répertoire WINDOWS et donne à ce nouveau fichier un nom différent chaque fois, ce qui le rend difficile à détecter. Ce code malveillant change divers fichiers systèmes et clefs de Registre.

Le troisième code malveillant sou notre microscope aujourd'hui s’appelle W97M/Footer.A. Il s’agit d’un virus de macros qui infecte les documents Microsoft Word 97, ainsi que le modèle global NORMAL.dot utilisé par cette application. Il désactive également la protection antivirus assignée par Word aux macros définies dans les documents. Hormis écraser le pied de page des documents infectés, W97M/Footer.A n'effectue aucune action destructive.

Nous terminerons ce rapport d'incidents avec IRC-Worm/Movie.A, un ver qui utilise les canaux IRC, et plus particulièrement un fichier appelé MOVIE.AVI, pour se diffuser. En d’autres termes, lorsqu’un utilisateur, dont l'ordinateur a été infecté, se connecte à un canal IRC, le fameux fichier est envoyé à toutes les personnes qui sont connectées au même canal au même moment. Lorsqu’un des usagers connectés à ce cyberchat écrit le mot « QWERTY » dans le canal de discussion, le code malveillant détruit la majorité des fichiers du répertoire WINDOWS.
Modifié le 01/06/2018 à 15h36
Mots-clés :
Cet article vous a intéressé ?
Abonnez-vous à la newsletter et recevez chaque jour, le meilleur de l’actu high-tech et du numérique.
Sélection Clubic VPN 2019

Les dernières actualités

L'Inde veut lancer une station spatiale d'ici 2030
Fiat Chrysler signe avec ENGIE pour offrir des solutions de charges électriques en Europe
88% des Américains consultent leur smartphone en regardant la TV
Le navigateur gamer Opera GX est accessible en early access
Test Asus ROG Strix SCAR III : RTX 2070 et 240Hz pour un portable gamer d'excellence
Malgré des AirPods 2 peu novateurs, Apple maintient son avance sur le marché des écouteurs sans-fil
Les Etats-Unis auraient implanté des
L'UE s'attaque au trafic en ligne d'espèces sauvages
Amazon Game Studios se sépare discrètement de dizaines d'employés
scroll top