Dans ce nouveau rapport d'incidents de virus de cette semaine, nous allons examiner deux virus résidents - Spanska.4250 et W95/Luna.2724 -, un Cheval de Troie et un virus de macro.
Virus polymorphe et chiffré, Spanska.4250 utilise des techniques de dissimulation pour infecter certains fichiers .exe et .com. Le virus ne devient résident mémoire que lorsqu’un programme contaminé est exécuté. L'effet principal de l'infection est l'apparition du texte « (c) Spanska 97 » sur l'écran de l'ordinateur infecté. Le symptôme principal de l'infection est une augmentation de la taille du programme de 4.250 octets.
Le second virus résident sous notre microscope aujourd'hui est W95/Luna.2724, un virus qui infecte les fichiers exécutables sous Windows 95. Le 15 de chaque mois impair (janvier, mars, etc.), le virus change la case de toutes les lettres dans tous les fichiers « txt » ouverts. Si le fichier est rouvert par la suite, les lettres seront à nouveau changées, et ainsi de suite, chaque fois que le fichier sera rouvert. W95/Luna.2724 n'infecte pas les fichiers commençant par “AV”, “av”, “DR”, “dr”, “F-“, “f-“, “AN”, “an”, “CE”, “ce”, “PI”, “pi”, “TB” ou “tb” qui font partie des programmes antivirus.
Le troisième code malveillant est Trojan/ICQ, un Cheval de Troie de Win 32 qui établit une connexion entre deux ordinateurs, l’un étant attaquant et l’autre la victime. Afin de faire ceci, il ouvre un port et attend simplement qu’une connexion se fasse. Le symptôme principal de la présence de ce Cheval de Troie est le changement du nom du fichier « ICQ.exe » en « ICQ2.exe ». Il est également possible de vérifier sa présence dans la liste des tâches actives en utilisant CTRL + ALT + SUPR.
Nous terminerons notre rapport de la semaine avec W97M/CronoMessage, un virus de macro qui infecte les documents de Microsoft Word 97 et le modèle global NORMAL.dot employé par ce programme. Ses effets consistent en la désactivation de l’option « macro » dans le menu « Outils ». Il affiche également une boîte de dialogue (choisie au hasard entre 15 possibilités différentes) lors de la fermeture d’un document infecté, à condition que le marquage de la date du système indique une date qui se trouve après le 22 avril 2000. Le virus utilise une macro appelée « Document_Close » qui est exécutée chaque fois que l'utilisateur ferme un document infecté.