Rapport d’incidents de virus

Panda Anti-Virus
05 juin 2000 à 21h52
0
00044534-photo-logo-panda-software.jpg
Un ver de Visual Basic Script, un virus résident chiffré et deux virus de macro, tel est le menu de notre rapport d’incidents de virus cette semaine.

Le ver de Visual Basic Script que nous examinons aujourd’hui s’appelle VBS/CoolNotepad.Worm et se transmet de deux manières : soit par le protocole IRC, soit par la messagerie électronique, en s’envoyant tout seul et automatiquement à toutes les entrées du carnet d’adresses de sa victime. Une fois dans la place, VBS/CoolNotepad.Worm modifie le Registre Windows afin d’être sûr de bien être exécuté à chaque fois que le système infecté est ré-initialisé. Dans la même veine, la première fois que l’ordinateur est démarré après l’infection, le virus va se cacher dans le bureau de Windows.


Le second code malveillant sous notre loupe se nomme W32/Orochi.5632. Il s’agit d’un virus résident crypté (codé) qui infecte les fichiers exécutables dotés des extensions .EXE et .SCR, et qui se répand par le biais du protocole IRC (Internet Relay Chat). Parfaitement autonome, il se diffuse de manière automatique sur les différentes chaînes de discussion définies dans le fichier Mirc.INI ; néanmoins, le virus ne peut agir que lorsqu’il est exécuté sous Windows NT ou Windows 2000. La charge destructive de W32/Orochi.5632 est une menace à ne pas négliger, surtout le 3 juillet, parce que si la date du système coïncide avec la sienne, il va substituer le MBR-Master Boot Record (enregistrement d’amorçage maître) avec son propre Master Boot. Résultat : même si le nouveau MBR créé par le virus élimine ce dernier dans la foulée, il délestera néanmoins l’ordinateur de ses mémoires CMOS et FLASH BIOS (si cette dernière existe) en les effaçant.


Nous terminerons le rapport de cette semaine avec la paire W97M/Thus.O1 et W97M/Lacosa, deux virus de macro qui outre semer la pagaille dans les documents de Microsoft Word 97, infectent également le modèle de document global NORMAL.DOT utilisé par défaut par cette application. W97M/Thus.O1 a la particularité d’agir au moment où lesdits documents s’ouvrent, se ferment ou sont créés. Son but : désactiver la protection antivirus des macros de Word afin de se diffuser sans entraves. De son côté, W97M/Lacosa est formé de deux macros qui varient selon le lieu où se déroule l’infection - dans le document ouvert ou dans le modèle de document global NORMAL.DOT. Il tient également un registre de toutes les infections qu’il effectue. Sa charge, activée le 30 décembre, affiche une boîte de dialogue à l’écran.
Modifié le 18/09/2018 à 11h57
0
0
Partager l'article :

Les actualités récentes les plus commentées

Automobile : le gouvernement envisagerait un malus lié au poids des véhicules
Le Royaume-Uni devrait interdire les ventes de voitures thermiques en 2030
Après Bethesda, Microsoft tease, déjà, un autre rachat à venir ?
Airbus dévoile ses trois concepts d'avion à hydrogène, opérationnel d'ici 2035
Microsoft rachète Bethesda Softworks et l'ensemble de ses studios
Voiture électrique : allez-vous sauter le pas et à quel prix ?
Xbox Series X | S : le module d'extension d'1 To NVMe coûtera 269,99€ en France
L'adoption de Firefox en chute de 85%
Batteries de voitures : et si on allait plutôt chercher les matériaux au fond des océans ?
Battery Day : des batteries révolutionnaires et une Tesla à 25 000 dollars sous trois ans
scroll top