Rapport d'incidents de virus

05 décembre 2000 à 16h00
0
Deux virus de macros et cinq vers sont à l’honneur dans notre rapport d'incidents.

W97M/Ozwer.A et W97M/Admin sont deux virus de macros qui appartiennent à la famille de W97Mm. Ils infectent les documents de Microsoft Word 97, ainsi que le modèle de documents global NORMAL.dot utilisé par cette application. Pour être plus précis, lorsqu’un document infecté est ouvert, les deux virus vérifient si NORMAL.dot est également contaminé. Si ce n’est pas le cas, ils l'infectent, puis le sauvegardent. Une fois infecté, le modèle global contamine à son tour tous les documents qui l’utilisent comme base. Qui plus est, W97M/Ozwer.A désactive les options qui permettent aux utilisateurs de manipuler les macros dans les documents de Microsoft Word. De son côté, W97M/Admin crée un dossier appelé SYSTEM.dll dans le répertoire Windows (généralement dans C:WINDOWS).

Les vers que nous allons examiner se répandent par le biais de la messagerie électronique. Il s’agit de :

- VBS/Jean-A. Ce ver s’auto-envoie aux 50 premiers noms du carnet d’adresses de l'ordinateur qu’il vient d’infecter ; il se diffuse en attachant une copie de lui-même au message. Étant écrit en script Visual Basic, VBS/Jean-A a, pour effectuer ses actions, besoin d’avoir Windows Scripting Host (ou WSH) installé dans l'ordinateur qu'il a infecté.

- I-Worm/Music.E. Créé en Visual Basic, ce ver Internet a la capacité de se connecter tout seul et d’établir une connexion avec plusieurs pages Web afin de mettre à jour ses composants. De plus, ce code malveillant affiche plusieurs images sur l'écran et joue la célèbre mélodie de Noël : « We wish you a Merry Christmas » (Nous vous souhaitons un Joyeux Noël).

- W32/Navidad.B. Il s’agit d’un ver qui envoie des messages aux expéditeurs des messages non lus dans la boîte de réception. Chaque message inclura un fichier appelé EMANUEL.exe et contenant le ver. W32/Navidad.B reste résident en tant que processus visible dans la liste de tâches actives et modifie plusieurs entrées dans le registre ; cette action empêche les fichiers .EXE d’être exécutés dans le système.

- W97M/Afeto. Ce ver recherche les neuf derniers messages dans le dossier « éléments envoyés », puis s’auto-envoie à ces adresses en tant que document Word. Ce message qui contient le virus n'a ni objet ni texte particulier. Afin de se diffuser, le virus utilise les mêmes objets que ceux des messages qui se trouvent dans le dossier éléments envoyés.

- I-Worm/Verona.B. Ce ver arrive dans un e-mail qui comprend deux fichiers attachés appelés « XJULIET.chm » et « XROMEO.exe ». Le message contient un code HTML qui est exécuté lorsque ledit message est ouvert ou lorsqu’il est affiché dans l’aperçu avant impression. Ce code malveillant exécute le fichier XJULIET.chm qui, à son tour, lance XROMEO.exe, un fichier qui contient le code du ver. Le code d'I-Worm/Verona.B ouvre le carnet d'adresses de l’application e-mail et envoie les fichiers reçus initialement, à toutes les entrées. Le ver envoie le message avec un objet choisi au hasard.
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

1.5 milliard d'appareils Apple vulnérables à cause d'AirDrop selon des chercheurs
Le PDG de Signal pirate un des dispositifs permettant à la police de lire les messages chiffrés
Elon Musk vise la Lune pour 2024
Test Echo Show 10 : l’écran connecté qui garde l’œil sur vous et votre domicile
Hackathon COVID-19 : deux jours de marathon pour trouver des solutions contre la pandémie
Mission Alpha : La capsule Crew Dragon Endeavour est repartie pour un tour !
Bon plan : excellent deal sur cette carte mémoire SanDisk de 400 Go
Le dernier iPad Pro (11 pouces, 128 Go) est moins cher de 100€ chez Amazon
Un pack processeur Ryzen 7 et carte mère Gigabyte B550 Aorus Elite AX à prix choc !
Biomutant : un nouveau trailer nous présente l’univers du jeu
Haut de page