Rapport d’incidents de virus

18 septembre 2018 à 11h57
0
00044534-photo-logo-panda-software.jpg
Un ver de Visual Basic Script, un virus résident chiffré et deux virus de macro, tel est le menu de notre rapport d’incidents de virus cette semaine.

Le ver de Visual Basic Script que nous examinons aujourd’hui s’appelle VBS/CoolNotepad.Worm et se transmet de deux manières : soit par le protocole IRC, soit par la messagerie électronique, en s’envoyant tout seul et automatiquement à toutes les entrées du carnet d’adresses de sa victime. Une fois dans la place, VBS/CoolNotepad.Worm modifie le Registre Windows afin d’être sûr de bien être exécuté à chaque fois que le système infecté est ré-initialisé. Dans la même veine, la première fois que l’ordinateur est démarré après l’infection, le virus va se cacher dans le bureau de Windows.


Le second code malveillant sous notre loupe se nomme W32/Orochi.5632. Il s’agit d’un virus résident crypté (codé) qui infecte les fichiers exécutables dotés des extensions .EXE et .SCR, et qui se répand par le biais du protocole IRC (Internet Relay Chat). Parfaitement autonome, il se diffuse de manière automatique sur les différentes chaînes de discussion définies dans le fichier Mirc.INI ; néanmoins, le virus ne peut agir que lorsqu’il est exécuté sous Windows NT ou Windows 2000. La charge destructive de W32/Orochi.5632 est une menace à ne pas négliger, surtout le 3 juillet, parce que si la date du système coïncide avec la sienne, il va substituer le MBR-Master Boot Record (enregistrement d’amorçage maître) avec son propre Master Boot. Résultat : même si le nouveau MBR créé par le virus élimine ce dernier dans la foulée, il délestera néanmoins l’ordinateur de ses mémoires CMOS et FLASH BIOS (si cette dernière existe) en les effaçant.


Nous terminerons le rapport de cette semaine avec la paire W97M/Thus.O1 et W97M/Lacosa, deux virus de macro qui outre semer la pagaille dans les documents de Microsoft Word 97, infectent également le modèle de document global NORMAL.DOT utilisé par défaut par cette application. W97M/Thus.O1 a la particularité d’agir au moment où lesdits documents s’ouvrent, se ferment ou sont créés. Son but : désactiver la protection antivirus des macros de Word afin de se diffuser sans entraves. De son côté, W97M/Lacosa est formé de deux macros qui varient selon le lieu où se déroule l’infection - dans le document ouvert ou dans le modèle de document global NORMAL.DOT. Il tient également un registre de toutes les infections qu’il effectue. Sa charge, activée le 30 décembre, affiche une boîte de dialogue à l’écran.
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Test Android Froyo 2.2 : les nouveautés de la bêta passées au crible
iPhone 6 : un prototype (?) en vente sur eBay pour 7 000 dollars
Le créateur du Bitcoin n’est finalement pas celui que l’on croyait
On Refait le Mac : premières impressions sur l'iPhone 6
Infos US de la nuit : incertitudes sur la date de lancement de l'iPhone 6
Objectif WAP pour le constructeur français Alcatel
Convergence des réseaux numériques : Quel terminal pour se connecter ?
World online va lancer des services WAP
Mauvaise journée boursière pour les valeurs internet
Jean-Noël TRONC, Membre du cabinet de Lionel JOSPIN, chargé de l'internet
Haut de page