Nouveaux types de virus/ver
Date : 06 Juillet 2005
Ce mois-ci, 2 nouveau types de virus sont apparus. Ils concernent les fichiers d'animations "Macromedia Shockwave Flash" et la nouvelle plate-forme de Microsoft ".NET".
Etant donné que ces 2 nouveaux virus ne sont en fait que des prototypes "inoffensifs", le Cert-IST n'a pas émis d'avis sur ces derniers. Une annonce a été faite dans ce sens dans la liste "Virus-Coord" du Cert-IST.
Cependant, il est ntéressant de voir les caractéristiques de ces 2 nouveaux virus au travers du présent article.
LFM-926 :
"LFM-926" est un virus qui impacte les fichiers relatifs aux animations "Macromedia Shockwave Flash" (fichier .SWF).
Ce virus se présente comme un prototype et ne contient pas, selon les éditeurs d'anti-virus, de code malicieux.
Il se présente sous la forme d'un fichier .SWF et infecte seulement les autres fichiers .SWF du répertoire courant. Pour cela, il utilise les fonctionnalités de script "Shockwave ActionScript".
Cependant pour s'exécuter correctement, "LFM-926" nécessite la présence sur le système du lecteur "Macromedia Flash Player" dans son intégralité. Le plugin Macromedia contenu dans les navigateurs web est insuffisant pour que le virus s'exécute correctement et empêche ainsi toute infection via les animations contenues dans les sites web.
Enfin, "LFM-926" ne fonctionne que sur les plates-formes Windows NT/2000/XP.
Pour plus d'information :
- F-Secure : http://www.datafellows.com/v-descs/swflfm.shtml
- NAI : http://vil.nai.com/vil/virusSummary.asp?virus_k=99297
- Sophos : http://www.sophos.com/virusinfo/analyses/swflfm926.html
- Symantec : http://www.symantec.com/avcenter/venc/data/acts.lfm.926.html
- TrendMicro : http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=SWF_LFM.926
Donut :
"Donut" est le premier virus connu (prototype) implémenté en langage Microsoft C# (langage Microsoft hérité de C et de C++, développé pour la plate-forme Microsoft ".NET") et Microsoft Intermediate Language (MSIL).
La plate-forme Microsoft .NET est la plate-forme proposée par Microsoft pour développer ses services Web XML (http://www.microsoft.com/net/ ). L'environnement ".Net" de Microsoft n'est, à ce jour, disponible qu'en version béta, et sa sortie officielle est prévue aux alentours de la mi-2002.
"Donut" va tenter d'infecter les fichiers binaires de l'architecture Windows Microsoft .NET. Lorsque ce virus est exécuté, il va infecter tous les fichiers exécutables .NET (fichiers ayant l'extension ".NET") dans le répertoire courant et dans les répertoires père.
Cependant, il faut que l'architecture .NET soit installée sur Windows 2000 ou Windows XP pour que ce virus puisse fonctionner, c'est pourquoi la propagation de "Donut" va probablement être assez limitée.
Pour plus d'information