Rapport d'incidents de virus

22 mai 2000 à 18h07
0
00044343-photo-virus.jpg
Deux virus de macro, un virus résident et, pour finir, un
virus à action directe font la une de notre bulletin cette semaine.

Le premier code malveillant sur lequel nous nous penchons aujourd'hui se
nomme W97M/Verlor.A. Pour infecter les documents de Microsoft Word 97, ainsi
que le modèle de document global utilisé par cette application, ce virus de
macro utilise des techniques de camouflage. En effet, afin de pourvoir
lancer son infection, le virus doit tout d'abord créer deux fichiers -
TEMPAD.DLL et TEMPNT.DLL - dans lesquels il va mettre son code avant de les
enregistrer dans le répertoire d'installation de Windows. La fermeture d'un
document qui a été infecté par le virus, entraîne la vérification de la
présence dans le dossier Windows des deux fichiers susmentionnés ; si c'est
le cas, il les efface. W97M/Verlor.A détermine ensuite si le modèle de
document global a déjà été infecté. Si besoin, il l'infecte et le sauvegarde
comme tel. Le virus effectue ensuite la même vérification auprès du document
qui est ouvert à ce moment-là et l'infecte si ce n'est pas déjà fait.

Le second virus de macro de notre rapport, W97M/VMPCK1.DD, infecte les
documents de Microsoft Word 97, ainsi que le modèle de document global
NORMAL.DOT utilisé par Word comme référence pour tous ses documents. Pour
effectuer ses infections, ce virus, qui est également polymorphe, utilise le
fichier SYSTEM.DRV qui se trouve dans le répertoire racine du disque dur
C:.

Le troisième code malveillant examiné cette semaine est VBS/ColdApe.A. Il s'
agit d'un virus à action directe qui est exécuté suite à l'activation d'un
virus différent nommé W97M/ColdApe. Après avoir obtenu l'adresse IP de l'
ordinateur infecté, VBS/ColdApe.A envoie deux messages électroniques via
Microsoft Outlook.

Nous conclurons ce papier avec W95/Najemnik.11776, un virus résident qui
infecte les fichiers Windows en format PE (Portable Executable). L'exécution
d'un fichier déjà infecté par le virus permet à ce dernier de créer deux
fichiers similaires, prénommés SYSTEM0 et SYSTEM, qui sont enregistrés dans
le dossier C:WINDOWS et qui contiennent le code viral.

Réalisé en collaboration avec Panda Software
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

Brave bloque déjà FLoC, le descendant des cookies tiers de Google
Comment choisir votre téléviseur ? Tous nos conseils pour faire le bon choix
Qu'est ce que le réseau Tor ? Est-il infaillible ?
Xbox : Fable, Everwild et Perfect Dark pourraient ne sortir que sur la prochaine génération
Test Odroid Go Super avec Recalbox : une solution portable idéale pour le rétrogaming
Hans Zimmer compose ... des sonneries pour Oppo
Cerise, la première collision accidentelle en orbite
Windows 10X veut-il remplacer Windows 10 ?
Le Palais Idéal du facteur Cheval débarque dans Google Arts & Culture
Bon plan :  le casque audio sans fil Life Q30 Anker est en promotion chez Amazon
Haut de page