Cette semaine nous allons étudier deux chevaux de Troie, un ver et un virus de macro.
Trojan/mIRC.Kill est un cheval de Troie qui effectue certaines modifications dans le but d’affecter le dossier mIRC32.EXE qui correspond à l'application de discussion mIRC. Lorsqu’il est exécuté, le cheval de Troie ouvre une fenêtre dans laquelle il demande à l'utilisateur d'écrire un surnom et une adresse IP afin de pouvoir lancer une attaque (nuke).
Le deuxième cheval de Troie que nous examinons aujourd'hui se nomme Troj/Sub7.2.13.Bonus et appartient à la famille SubSeven. À l’instar de tous les chevaux de Troie de ce type, il permet à l'ordinateur d'être consulté à distance à partir de n'importe quel autre ordinateur. Ceci signifie que n'importe quelle action pourrait être effectuée dans l'ordinateur infecté (les données de configuration et les mots de passe pourraient être consultés, le clavier contrôlé, etc.), sans que le propriétaire ne se rende compte de quoi que ce soit.
Le troisième code malveillant sur lequel nous nous penchons dans ce rapport est VBS/VBSWG.K, un ver qui se propage par le biais de la messagerie électronique – en utilisant Microsoft Outlook - et via des canaux IRC – par les applications mIRC et Pirch. Le ver arrive dans un message électronique qui essaie de duper les utilisateurs en leur faisant croire qu’il contient des informations sur des tarifs meilleur marché pour Internet.
Nous allons conclure avec W97M/FreeChan.A, un virus de macros qui appartient au groupe W97M et qui infecte les documents de Microsoft Word 97 ainsi que le modèle de document NORMAL.dot utilisé par cette application. Une partie de son code est chiffrée et il comprend deux charges destructives. La première entraîne l’affichage d’un message à chaque démarrage d’une session Windows. La seconde permet au virus d'envoyer une copie de lui-même à toutes les entrées du carnet d'adresses de MS-Outlook dans l'ordinateur infecté. Les messages qui sont envoyés ont le format suivant :
Objet : (nom de l'utilisateur de MS-Word) - Curriculum Vitae.