Si les sociétés d'antivirus passent leur temps à détailler le fonctionnement de certains virus pour notre information, autant leur rendre hommage parfois et utiliser leurs informations... Voici donc l'analyse que Panda Software nous à concoté sur trois des virus les plus virulants pour le moment.
Mydoom.P se propage par email dans un message qui simule des messages d’erreur. Toutes les cinq secondes, le ver vérifie la mémoire pour vérifier la présence de processus actifs comportant les chaînes de texte suivantes : av, AV, can, cc, ecur, erve, iru, java, KV, mc, Mc, nti, nv, ort, scn, SkyNet, sss, sym, Sym, uba et xp.exe. Si tel est le cas, Mydoom.P met fin aux processus. Parfois, lorsque le ver s’exécute pour la première fois, il ouvre le Bloc-notes Windows.
Mydoom.P tente d’utiliser les deux méthodes suivantes pour récupérer des adresses :
- Recherche dans tous les fichiers portant les extensions ADB, ASP, CFG, DBX, DHTM, EML, HTM, HTML, JS, JSE, JSP, MMF, MSG, ODS, PHP, PL, SHT, SHTM, SHTML, TBB, TXT, WAB et XML.
- Lancement de requêtes HTTP sur le site Web email.people.yahoo.com, afin d’utiliser la fonction de recherche de personnes dans le mail Yahoo.
Mydoom.O se propage via email dans un message aux caractéristiques variables. Il installe un fichier qui ouvre le port TCP 1034 et se met en écoute. L’ordinateur affecté est alors accessible, autorisant le vol des données confidentielles ou son endommagement.
Le troisième ver que nous analyserons aujourd’hui est Amus.A, qui utilise son propre moteur SMTP pour se propager par email. Il crée plusieurs copies de lui-même et une entrée dans le Registre Windows de l’ordinateur pour s’assurer d’être exécuté à chaque lancement du système d’exploitation. Parfois, Amus.A peut créer un petit carré blanc en haut à gauche du bureau.
Mydoom.P se propage par email dans un message qui simule des messages d’erreur. Toutes les cinq secondes, le ver vérifie la mémoire pour vérifier la présence de processus actifs comportant les chaînes de texte suivantes : av, AV, can, cc, ecur, erve, iru, java, KV, mc, Mc, nti, nv, ort, scn, SkyNet, sss, sym, Sym, uba et xp.exe. Si tel est le cas, Mydoom.P met fin aux processus. Parfois, lorsque le ver s’exécute pour la première fois, il ouvre le Bloc-notes Windows.
Mydoom.P tente d’utiliser les deux méthodes suivantes pour récupérer des adresses :
- Recherche dans tous les fichiers portant les extensions ADB, ASP, CFG, DBX, DHTM, EML, HTM, HTML, JS, JSE, JSP, MMF, MSG, ODS, PHP, PL, SHT, SHTM, SHTML, TBB, TXT, WAB et XML.
- Lancement de requêtes HTTP sur le site Web email.people.yahoo.com, afin d’utiliser la fonction de recherche de personnes dans le mail Yahoo.
Mydoom.O se propage via email dans un message aux caractéristiques variables. Il installe un fichier qui ouvre le port TCP 1034 et se met en écoute. L’ordinateur affecté est alors accessible, autorisant le vol des données confidentielles ou son endommagement.
Le troisième ver que nous analyserons aujourd’hui est Amus.A, qui utilise son propre moteur SMTP pour se propager par email. Il crée plusieurs copies de lui-même et une entrée dans le Registre Windows de l’ordinateur pour s’assurer d’être exécuté à chaque lancement du système d’exploitation. Parfois, Amus.A peut créer un petit carré blanc en haut à gauche du bureau.
Liens
Encyclopédie de virus Panda Software (272 Clics)
Envoyer une nouvelle à un ami