Notre bulletin d’Oxygen3 24h-365d d’aujourd’hui va nous permettre d’analyser quatre codes malveillants : deux chevaux de Troie, un virus de macros et un ver qui se propage par les canaux IRC.
Trojan/Ring0.B est un cheval de Troie qui utilise deux fichiers pour pénétrer à distance dans d’autres systèmes IT. L’un de ces fichiers se nomme RINGO.vxd et a une taille de 5682 octets. Le second porte plusieurs noms différents, dont WINDLL32.exe et MSRUNSRV.exe, et occupe un espace d’un peu plus de 47 Kb. Afin de ne pas éveiller les soupçons des utilisateurs, ces deux fichiers donnent l’illusion d’être liés à des applications courantes. Qui plus est, dès qu’ils sont tous deux installés, Trojan/Ring0.B entre une clef dans le Registre Windows.
Le deuxième cheval de Troie que nous étudions aujourd'hui se nomme Trojan/Twinshoe et entre dans le système qu’il veut infecter par le biais d’un fichier de 481699 octets. A l’instar de la plupart des chevaux de Troie, Trojan/Twinshoe s’auto-copie dans le répertoire WINDOWS et donne à ce nouveau fichier un nom différent chaque fois, ce qui le rend difficile à détecter. Ce code malveillant change divers fichiers systèmes et clefs de Registre.
Le troisième code malveillant sou notre microscope aujourd'hui s’appelle W97M/Footer.A. Il s’agit d’un virus de macros qui infecte les documents Microsoft Word 97, ainsi que le modèle global NORMAL.dot utilisé par cette application. Il désactive également la protection antivirus assignée par Word aux macros définies dans les documents. Hormis écraser le pied de page des documents infectés, W97M/Footer.A n'effectue aucune action destructive.
Nous terminerons ce rapport d'incidents avec IRC-Worm/Movie.A, un ver qui utilise les canaux IRC, et plus particulièrement un fichier appelé MOVIE.AVI, pour se diffuser. En d’autres termes, lorsqu’un utilisateur, dont l'ordinateur a été infecté, se connecte à un canal IRC, le fameux fichier est envoyé à toutes les personnes qui sont connectées au même canal au même moment. Lorsqu’un des usagers connectés à ce cyberchat écrit le mot « QWERTY » dans le canal de discussion, le code malveillant détruit la majorité des fichiers du répertoire WINDOWS.