Rapport hebdomadaire de virus: semaine 11
«Le vrai mystère du monde est le visible, pas l’invisible.»
Oscar Wilde (1856-1900) ; dramaturge et romancier anglo-irlandais.
– Rapport Hebdomadaire de virus –
Oxygen3 24h-365d, par Panda Software ( http://www.pandasoftware.com )
Le rapport de cette semaine traite de deux vers -appelés W32/Fbound.C et W32/Mylife.
W32/Fbound.C se distingue par sa capacité à s’envoyer par e-mail, une action qu’il accomplit sans avoir jamais besoin d’être copié sur le disque dur de l’ordinateur infecté. Il établit une connexion directe avec le serveur de messagerie assigné à l’utilisateur.
W32/Fbound.C est envoyé dans un message avec l’objet ‘Important’ ou un texte en japonais (si l’adresse e-mail du destinataire se termine par .jp) et comporte un fichier attaché appelé ‘PATCH.EXE’. Si l’utilisateur exécute le fichier attaché, le ver s’envoie à toutes les entrées du carnet d’adresses de l’application de messagerie Microsoft Outlook Express. Si cette application n’est pas installée sur l’ordinateur ou si le carnet d’adresses ne contient pas d’entrées, W32/Fbound.C ne peut pas s’envoyer.
W32/Mylife est un ver qui consiste en un fichier UPX compressé. Ce ver s’envoie aussi à toutes les entrées dans le carnet d’adresses de l’ordinateur infecté. Il est envoyé dans un message avec les caractéristiques suivantes :
Objet : my life ohhhhhhhhhhhhh
Corps du message : Hiiiii
How are youuuuuuuu?
look to the digital picture it’s my love
vvvery verrrry ffffunny 🙂
my life = my car
my car = my house
Fichier attaché : My Life.scr
Lorsque W32/Mylife est exécuté, une image d’une fille avec un fleur apparaît à l’écran, et en même temps, le ver se copie dans le répertoire système Windows sous le nom « MY LIFE.SCR ». Ce code malveillant ajoute aussi une entrée dans la base de registres de Windows de manière à s’assurer qu’il soit exécuté à chaque fois que l’ordinateur infecté est démarré.
Pour plus d’information sur ces virus et d’autres, visitez l’Encyclopédie de Virus de Panda Software à l’adresse suivante (en anglais) : http://www.pandasoftware.com/library/.