Rapport d'incidents de virus

Par
Le 22 mai 2000
 0
00044343-photo-virus.jpg
Deux virus de macro, un virus résident et, pour finir, un
virus à action directe font la une de notre bulletin cette semaine.

Le premier code malveillant sur lequel nous nous penchons aujourd'hui se
nomme W97M/Verlor.A. Pour infecter les documents de Microsoft Word 97, ainsi
que le modèle de document global utilisé par cette application, ce virus de
macro utilise des techniques de camouflage. En effet, afin de pourvoir
lancer son infection, le virus doit tout d'abord créer deux fichiers -
TEMPAD.DLL et TEMPNT.DLL - dans lesquels il va mettre son code avant de les
enregistrer dans le répertoire d'installation de Windows. La fermeture d'un
document qui a été infecté par le virus, entraîne la vérification de la
présence dans le dossier Windows des deux fichiers susmentionnés ; si c'est
le cas, il les efface. W97M/Verlor.A détermine ensuite si le modèle de
document global a déjà été infecté. Si besoin, il l'infecte et le sauvegarde
comme tel. Le virus effectue ensuite la même vérification auprès du document
qui est ouvert à ce moment-là et l'infecte si ce n'est pas déjà fait.

Le second virus de macro de notre rapport, W97M/VMPCK1.DD, infecte les
documents de Microsoft Word 97, ainsi que le modèle de document global
NORMAL.DOT utilisé par Word comme référence pour tous ses documents. Pour
effectuer ses infections, ce virus, qui est également polymorphe, utilise le
fichier SYSTEM.DRV qui se trouve dans le répertoire racine du disque dur
C:.

Le troisième code malveillant examiné cette semaine est VBS/ColdApe.A. Il s'
agit d'un virus à action directe qui est exécuté suite à l'activation d'un
virus différent nommé W97M/ColdApe. Après avoir obtenu l'adresse IP de l'
ordinateur infecté, VBS/ColdApe.A envoie deux messages électroniques via
Microsoft Outlook.

Nous conclurons ce papier avec W95/Najemnik.11776, un virus résident qui
infecte les fichiers Windows en format PE (Portable Executable). L'exécution
d'un fichier déjà infecté par le virus permet à ce dernier de créer deux
fichiers similaires, prénommés SYSTEM0 et SYSTEM, qui sont enregistrés dans
le dossier C:WINDOWS et qui contiennent le code viral.

Réalisé en collaboration avec Panda Software
Modifié le 01/06/2018 à 15h36

Les dernières actualités

scroll top