Dans notre rapport d’incidents de virus d’aujourd’hui, nous allons parler de quatre virus de macros quelque peu différents, même si certain d’entre eux ont des caractéristiques en commun.
Les premiers à l’honneur sont et W97M/Thus.T, deux virus de macros qui infectent les documents de Microsoft Word 97 ainsi que le modèle de document NORMAL.DOT utilisé par cette application ; tous deux désactivent également la protection antivirus dans les macros. W97M/Ethan.O4 se démarque de son acolyte en désactivant aussi diverses options, dont certaines permettent aux utilisateurs de convertir des documents et la clé de combinaison CTRL + ALT (ce qui empêche l’utilisateur d’interrompre l’exécution d’une macro).
L’activation de la charge ou de l’effet destructif de W97M/Ethan.O4 dépend de la valeur calculée au hasard des nombres qui servent à modifier certains paramètres dans les propriétés des documents actifs. Cependant, sa charge ne sera jamais déclenchée, car sa condition d’activation est que la valeur des nombres au hasard obtenue devrait être inférieure à 0 (ce qui est impossible).
Autre cas d’espèce, W97M/Thus.T est un virus doté d’un code qui déclenche sa charge au début du mois de janvier (pour être plus précis, entre le 1er et le 9 janvier), laquelle consiste en l’affichage d’un message à l’écran.
Nous terminerons ce rapport d’incidents avec XM/Laroux.GE et X97M/Laroux.GE, deux virus de macros appartenant à la famille Laroux qui s’occupe d’infecter les registres (feuilles de calcul) de Microsoft Excel 95 et Microsoft Excel 97. Pour réaliser ceci, les virus s’auto-copient en tant que fichiers appelés « PERSONAL.XLS », dans le fichier démarrage ou le répertoire des applications mentionnées ci-dessus.
M/Laroux.GE et X97M/Laroux.GE contiennent un code qui correspond à contrôler des bogues, ce qui signifie qu’il va désactiver la mise à jour des informations à l’écran, de sorte que les virus de macros soient exécutés plus rapidement. Leurs charges sont activées au hasard, et si la date coïncide avec la valeur des nombres calculée au hasard, un message sera affiché à l’écran. Ils contiennent une section de code qui désactive certaines fonctions dans le menu Outils.