Rapport d'incidents de virus

Panda Software
22 mai 2000 à 18h07
0
00044343-photo-virus.jpg
Deux virus de macro, un virus résident et, pour finir, un
virus à action directe font la une de notre bulletin cette semaine.

Le premier code malveillant sur lequel nous nous penchons aujourd'hui se
nomme W97M/Verlor.A. Pour infecter les documents de Microsoft Word 97, ainsi
que le modèle de document global utilisé par cette application, ce virus de
macro utilise des techniques de camouflage. En effet, afin de pourvoir
lancer son infection, le virus doit tout d'abord créer deux fichiers -
TEMPAD.DLL et TEMPNT.DLL - dans lesquels il va mettre son code avant de les
enregistrer dans le répertoire d'installation de Windows. La fermeture d'un
document qui a été infecté par le virus, entraîne la vérification de la
présence dans le dossier Windows des deux fichiers susmentionnés ; si c'est
le cas, il les efface. W97M/Verlor.A détermine ensuite si le modèle de
document global a déjà été infecté. Si besoin, il l'infecte et le sauvegarde
comme tel. Le virus effectue ensuite la même vérification auprès du document
qui est ouvert à ce moment-là et l'infecte si ce n'est pas déjà fait.

Le second virus de macro de notre rapport, W97M/VMPCK1.DD, infecte les
documents de Microsoft Word 97, ainsi que le modèle de document global
NORMAL.DOT utilisé par Word comme référence pour tous ses documents. Pour
effectuer ses infections, ce virus, qui est également polymorphe, utilise le
fichier SYSTEM.DRV qui se trouve dans le répertoire racine du disque dur
C:.

Le troisième code malveillant examiné cette semaine est VBS/ColdApe.A. Il s'
agit d'un virus à action directe qui est exécuté suite à l'activation d'un
virus différent nommé W97M/ColdApe. Après avoir obtenu l'adresse IP de l'
ordinateur infecté, VBS/ColdApe.A envoie deux messages électroniques via
Microsoft Outlook.

Nous conclurons ce papier avec W95/Najemnik.11776, un virus résident qui
infecte les fichiers Windows en format PE (Portable Executable). L'exécution
d'un fichier déjà infecté par le virus permet à ce dernier de créer deux
fichiers similaires, prénommés SYSTEM0 et SYSTEM, qui sont enregistrés dans
le dossier C:WINDOWS et qui contiennent le code viral.

Réalisé en collaboration avec Panda Software
Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

Emmanuel Macron se moque des opposants au déploiement de la 5G
L'UE envisage de renforcer les limites d'émission de CO2 pour le secteur automobile
Clubic évolue (en douceur)
L'attaque d'un hôpital par ransomware pourrait tourner en homicide après la mort d'une patiente allemande
5G : plusieurs dizaines d'élus de gauche veulent repousser le lancement de la technologie
Le data center sous-marin de Microsoft refait surface après deux ans d'immersion
AMD dévoile le design de sa Radeon RX 6000 sur Twitter
Allongé et endormi
Après Bouygues, au tour de RED by SFR d'augmenter des forfaits sans possibilité de refus
Déjà en rupture de stock, les NVIDIA RTX 3080 se vendent à prix d'or sur eBay
scroll top