WinNT.Infis, le premier virus à pénétrer
la sécurité intégrée de NT
Windows NT 4 (du service pack 2 à 6) est la victime
du premier virus qui met véritablement en jeu la sécurité
de son système. Ce virus, appelé WinNT.Infis,
a déjà été découvert dans
plusieurs entreprises qui sont les victimes idéales
de ce type de virus: elles utilisent Windows NT à
outrance et les employés s'envoient le virus entre
eux, par mail ou partage de fichiers.
WinNT.Infis agit comme un pilote système de Windows NT.
Le virus installe le fichier inf.sys dans le dossier drivers
de Windows NT et crée une entrée dans la base
de registre de NT pour se charger par défaut à
chaque démarrage de la machine. Une fois appelé,
le fichier inf lance une routine en mémoire qui lui
permet d'intercepter les ouvertures de fichiers et d'en contrôler
le format. Les fichiers exe de type "portable executable"
sont infectés (à l'exception de cmd.exe, le
gestionnaire de commandes): WinNT.Infis leur ajoute son code
viral d'une longueur de 4608 octects. La date de modification
du fichier est portée à -1 pour que le virus
puisse éviter les infections multiples.
Les effets de WinNT.Infis ne sont pas pour l'instant totalement
déterminés. Il ne semble pas contenir de code
de destruction de fichiers. Par contre, il peut empêcher
l'execution des programmes standards de NT: la calculette
ou le lecteur de CD. Les programmes porteurs du virus peuvent
aussi ne plus répondre. L'erreur provoquée se
caractérise par l'affichage d'une boîte de dialogue
d'erreur standard. La seule solution pour l'instant est de
mettre à jour son antivirus, la majorité des
éditeurs ayant déjà ajouté WinNT.Infis
à leurs définitions.
Responsable de rubrique : Alain Steinmann
|
|