Nouveau rapport d'incidents de virus

28 novembre 2000 à 20h24
0
00045310-photo-insecte-virus.jpg
Notre bulletin d’Oxygen3 24h-365d d’aujourd’hui va nous permettre d’analyser quatre codes malveillants : deux chevaux de Troie, un virus de macros et un ver qui se propage par les canaux IRC.

Trojan/Ring0.B est un cheval de Troie qui utilise deux fichiers pour pénétrer à distance dans d’autres systèmes IT. L’un de ces fichiers se nomme RINGO.vxd et a une taille de 5682 octets. Le second porte plusieurs noms différents, dont WINDLL32.exe et MSRUNSRV.exe, et occupe un espace d’un peu plus de 47 Kb. Afin de ne pas éveiller les soupçons des utilisateurs, ces deux fichiers donnent l’illusion d’être liés à des applications courantes. Qui plus est, dès qu’ils sont tous deux installés, Trojan/Ring0.B entre une clef dans le Registre Windows.



Le deuxième cheval de Troie que nous étudions aujourd'hui se nomme Trojan/Twinshoe et entre dans le système qu’il veut infecter par le biais d’un fichier de 481699 octets. A l’instar de la plupart des chevaux de Troie, Trojan/Twinshoe s’auto-copie dans le répertoire WINDOWS et donne à ce nouveau fichier un nom différent chaque fois, ce qui le rend difficile à détecter. Ce code malveillant change divers fichiers systèmes et clefs de Registre.

Le troisième code malveillant sou notre microscope aujourd'hui s’appelle W97M/Footer.A. Il s’agit d’un virus de macros qui infecte les documents Microsoft Word 97, ainsi que le modèle global NORMAL.dot utilisé par cette application. Il désactive également la protection antivirus assignée par Word aux macros définies dans les documents. Hormis écraser le pied de page des documents infectés, W97M/Footer.A n'effectue aucune action destructive.

Nous terminerons ce rapport d'incidents avec IRC-Worm/Movie.A, un ver qui utilise les canaux IRC, et plus particulièrement un fichier appelé MOVIE.AVI, pour se diffuser. En d’autres termes, lorsqu’un utilisateur, dont l'ordinateur a été infecté, se connecte à un canal IRC, le fameux fichier est envoyé à toutes les personnes qui sont connectées au même canal au même moment. Lorsqu’un des usagers connectés à ce cyberchat écrit le mot « QWERTY » dans le canal de discussion, le code malveillant détruit la majorité des fichiers du répertoire WINDOWS.
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

1.5 milliard d'appareils Apple vulnérables à cause d'AirDrop selon des chercheurs
Le PDG de Signal pirate un des dispositifs permettant à la police de lire les messages chiffrés
Elon Musk vise la Lune pour 2024
Test Echo Show 10 : l’écran connecté qui garde l’œil sur vous et votre domicile
Hackathon COVID-19 : deux jours de marathon pour trouver des solutions contre la pandémie
Mission Alpha : La capsule Crew Dragon Endeavour est repartie pour un tour !
Bon plan : excellent deal sur cette carte mémoire SanDisk de 400 Go
Le dernier iPad Pro (11 pouces, 128 Go) est moins cher de 100€ chez Amazon
Un pack processeur Ryzen 7 et carte mère Gigabyte B550 Aorus Elite AX à prix choc !
Biomutant : un nouveau trailer nous présente l’univers du jeu
Haut de page