WinNT.Infis, le premier virus à pénétrer la sécurité intégrée de NT

Windows NT 4 (du service pack 2 à 6) est la victime du premier virus qui met véritablement en jeu la sécurité de son système. Ce virus, appelé WinNT.Infis, a déjà été découvert dans plusieurs entreprises qui sont les victimes idéales de ce type de virus: elles utilisent Windows NT à outrance et les employés s'envoient le virus entre eux, par mail ou partage de fichiers.
WinNT.Infis agit comme un pilote système de Windows NT. Le virus installe le fichier inf.sys dans le dossier drivers de Windows NT et crée une entrée dans la base de registre de NT pour se charger par défaut à chaque démarrage de la machine. Une fois appelé, le fichier inf lance une routine en mémoire qui lui permet d'intercepter les ouvertures de fichiers et d'en contrôler le format. Les fichiers exe de type "portable executable" sont infectés (à l'exception de cmd.exe, le gestionnaire de commandes): WinNT.Infis leur ajoute son code viral d'une longueur de 4608 octects. La date de modification du fichier est portée à -1 pour que le virus puisse éviter les infections multiples.
Les effets de WinNT.Infis ne sont pas pour l'instant totalement déterminés. Il ne semble pas contenir de code de destruction de fichiers. Par contre, il peut empêcher l'execution des programmes standards de NT: la calculette ou le lecteur de CD. Les programmes porteurs du virus peuvent aussi ne plus répondre. L'erreur provoquée se caractérise par l'affichage d'une boîte de dialogue d'erreur standard. La seule solution pour l'instant est de mettre à jour son antivirus, la majorité des éditeurs ayant déjà ajouté WinNT.Infis à leurs définitions.