Virus: secteur d'amorcage et Word 97

26 juillet 2000 à 17h28
0
00044534-photo-logo-panda-software.jpg
Le rapport de cette semaine traite d’un virus nommé Natas.4988 ou Natas.4988.Mbr, qui infecte le secteur d’amorçage du disque dur, et de trois virus de macro de Word 97 (WM/CAP.A, W97M/Ethan.AT et WM97M/Ethan.BY).

Le premier code malveillant que nous examinons dans ce rapport est Natas.4988, un virus multivolet et polymorphe qui infecte le secteur d’amorçage du disque dur (Master Boot Record/ Enregistrement d’amorçage principal) et utilise des techniques de camouflage. Ce virus est activé lorsqu’un dossier qui a été précédemment infecté, est exécuté ; à ce moment-là, le virus entreprend d’écraser les premiers secteurs du disque dur et d’infecter d’autres fichiers EXE, COM et OVL. Le symptôme d’infection le plus évident est la présence d’une chaîne de caractères ASCII dans tous les fichiers qui contiennent le virus.


La seconde menace que nous examinons aujourd’hui est WM/CAP.A, un virus qui infecte les fichiers de Microsoft Word 6.x et 7.x. Bien qu’il ne soit pas doté d’une charge destructive, il n’en désactive pas moins l’accès aux options " Macro " et " Personnaliser... " du menu Outils. L’infection devient évidente lorsque l’utilisateur ne réussit pas à accéder aux options mentionnées ci-dessus. Une fois qu’un document est infecté, le virus élimine toutes les macros qui sont définies, tant dans le modèle de document global NORMAL.DOT que dans tout autre modèle de Word existant.


Nous conclurons ce rapport avec W97M/Ethan.AT et sa variante, prénommée W97M/Ethan.BY. Alors que le code initial (WM97M/Ethan.AT) n’effectue aucune opérations destructives, la variante Ethan.BY, elle, désactive la protection antivirus de Word. La présence de W97M/Ethan.AT est facile à détecter ; il suffit de repérer l’apparition d’un fichier nommé PAGEFILE.DAT dans le répertoire racine du disque dur. Quant à la variante Ethan.BY, elle apparaît dans le dossier C: sous le nom de ETHAN.___. W97M/Ethan.BY et modifie certaines propriétés du document infecté ; néanmoins, sa charge ne se déclenche que dans trois cas d’infections sur dix.
Modifié le 18/09/2018 à 11h56
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

Les dérives de la diversification : au Royaume-Uni, Amazon lance... un salon de coiffure
Les meilleures applications de sport pour garder la forme en toutes circonstances
Le Google Pixel 5 tombe à moins de 600€ avec un code promo seulement aujourd'hui
Le Xbox Live Gold n'est plus obligatoire pour jouer en ligne aux free-to-play
Test du casque gaming EPOS H3 : un micro qui fait toute la différence
Excellent prix pour ce SSD interne Crucial 1 To 3NVMe
AirPods et AirPods Pro : les écouteurs sans fil Apple sont moins chers sur Amazon 🔥
PlayStation Plus : des films devraient bientôt être proposés aux abonnés
Belle promotion sur cet écran PC gamer incurvé ViewSonic de 32 pouces
Quel est le meilleur hébergement Minecraft ?
Haut de page