0
Le ver de Visual Basic Script que nous examinons aujourd’hui s’appelle VBS/CoolNotepad.Worm et se transmet de deux manières : soit par le protocole IRC, soit par la messagerie électronique, en s’envoyant tout seul et automatiquement à toutes les entrées du carnet d’adresses de sa victime. Une fois dans la place, VBS/CoolNotepad.Worm modifie le Registre Windows afin d’être sûr de bien être exécuté à chaque fois que le système infecté est ré-initialisé. Dans la même veine, la première fois que l’ordinateur est démarré après l’infection, le virus va se cacher dans le bureau de Windows.
Le second code malveillant sous notre loupe se nomme W32/Orochi.5632. Il s’agit d’un virus résident crypté (codé) qui infecte les fichiers exécutables dotés des extensions .EXE et .SCR, et qui se répand par le biais du protocole IRC (Internet Relay Chat). Parfaitement autonome, il se diffuse de manière automatique sur les différentes chaînes de discussion définies dans le fichier Mirc.INI ; néanmoins, le virus ne peut agir que lorsqu’il est exécuté sous Windows NT ou Windows 2000. La charge destructive de W32/Orochi.5632 est une menace à ne pas négliger, surtout le 3 juillet, parce que si la date du système coïncide avec la sienne, il va substituer le MBR-Master Boot Record (enregistrement d’amorçage maître) avec son propre Master Boot. Résultat : même si le nouveau MBR créé par le virus élimine ce dernier dans la foulée, il délestera néanmoins l’ordinateur de ses mémoires CMOS et FLASH BIOS (si cette dernière existe) en les effaçant.
Nous terminerons le rapport de cette semaine avec la paire W97M/Thus.O1 et W97M/Lacosa, deux virus de macro qui outre semer la pagaille dans les documents de Microsoft Word 97, infectent également le modèle de document global NORMAL.DOT utilisé par défaut par cette application. W97M/Thus.O1 a la particularité d’agir au moment où lesdits documents s’ouvrent, se ferment ou sont créés. Son but : désactiver la protection antivirus des macros de Word afin de se diffuser sans entraves. De son côté, W97M/Lacosa est formé de deux macros qui varient selon le lieu où se déroule l’infection - dans le document ouvert ou dans le modèle de document global NORMAL.DOT. Il tient également un registre de toutes les infections qu’il effectue. Sa charge, activée le 30 décembre, affiche une boîte de dialogue à l’écran.
