Virus: secteur d'amorcage et Word 97

26 juillet 2000 à 17h28
0
00044534-photo-logo-panda-software.jpg
Le rapport de cette semaine traite d’un virus nommé Natas.4988 ou Natas.4988.Mbr, qui infecte le secteur d’amorçage du disque dur, et de trois virus de macro de Word 97 (WM/CAP.A, W97M/Ethan.AT et WM97M/Ethan.BY).

Le premier code malveillant que nous examinons dans ce rapport est Natas.4988, un virus multivolet et polymorphe qui infecte le secteur d’amorçage du disque dur (Master Boot Record/ Enregistrement d’amorçage principal) et utilise des techniques de camouflage. Ce virus est activé lorsqu’un dossier qui a été précédemment infecté, est exécuté ; à ce moment-là, le virus entreprend d’écraser les premiers secteurs du disque dur et d’infecter d’autres fichiers EXE, COM et OVL. Le symptôme d’infection le plus évident est la présence d’une chaîne de caractères ASCII dans tous les fichiers qui contiennent le virus.


La seconde menace que nous examinons aujourd’hui est WM/CAP.A, un virus qui infecte les fichiers de Microsoft Word 6.x et 7.x. Bien qu’il ne soit pas doté d’une charge destructive, il n’en désactive pas moins l’accès aux options " Macro " et " Personnaliser... " du menu Outils. L’infection devient évidente lorsque l’utilisateur ne réussit pas à accéder aux options mentionnées ci-dessus. Une fois qu’un document est infecté, le virus élimine toutes les macros qui sont définies, tant dans le modèle de document global NORMAL.DOT que dans tout autre modèle de Word existant.


Nous conclurons ce rapport avec W97M/Ethan.AT et sa variante, prénommée W97M/Ethan.BY. Alors que le code initial (WM97M/Ethan.AT) n’effectue aucune opérations destructives, la variante Ethan.BY, elle, désactive la protection antivirus de Word. La présence de W97M/Ethan.AT est facile à détecter ; il suffit de repérer l’apparition d’un fichier nommé PAGEFILE.DAT dans le répertoire racine du disque dur. Quant à la variante Ethan.BY, elle apparaît dans le dossier C: sous le nom de ETHAN.___. W97M/Ethan.BY et modifie certaines propriétés du document infecté ; néanmoins, sa charge ne se déclenche que dans trois cas d’infections sur dix.
Modifié le 18/09/2018 à 11h56
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Accord stratégique ELSA - NVidia
Les chipsets DDR ALI annoncés
Microsoft annonce Train Simulator!
Napster bientôt fermé?
Premières photos d'un jeu X-Box
SETI Accelerator... intox!
Napster, le procès phare
X-Box, de nouvelles vidéos
MacroMedia Flash 5
Black & White encore retardé
Haut de page