|
Magistr.B
est une variante polymorphique du virus Magistr dotée
de nouvelles capacités de nuisance. Elle se présente
sous la forme d'un mail dépourvu de destinataire dans
le champ "A:" (les noms sont dans le champ CCi,
Copie Carbone invisible, donc invisibles), dont le titre et
le corps sont générés aléatoirement
(souvent extraits d'un document trouvé sur la machine
infectée), et accompagné d'un fichier exécutable
en .COM, .BAT, .EXE ou .PIF ainsi éventuellement que
de documents en .DOC, .GIF ou .TXT pris au hasard sur le disque
dur de la victime infectée.
Si le
fichier joint est exécuté, le virus s'installe en mémoire
sous la forme d'une thread du processus EXPLORER.EXE. Il extrait
ensuite les adresses emails contenues dans le carnet d'adresses
Windows et les principaux logiciels de messagerie (Eudora,
Outlook Express et Netscape), puis s'envoie automatiquement
à chaque correspondant via son propre serveur SMTP.
Magistr.B cherche ensuite à se répandre en réseau
local via les disques partagés en accès complet,
infecte tous les fichiers .EXE et .SCR des répertoires
Windows (WINNT, WINDOWS, WIN95, WIN98, WINME, WIN2000, WIN2K,
WINXP), modifie la base de registre afin d'être exécuté
à chaque démarrage de l'ordinateur (HKEY_LOCAL_MACHINE\
Software\ Microsoft\ Windows\ CurrentVersion\ Run), puis tente
de désactiver le firewall ZoneAlarm s'il est installé
sur la machine.
La présence
du virus est parfois signalée par le fait que les icônes
du Bureau Windows deviennent fuyantes et se dérobent
lorsque le pointeur de la souris les approche. Un
mois environ après l'infection, la charge destructive
s'active : Magistr.B infecte les fichiers WIN.COM et NTLDR,
puis affiche le message "Another haughty bloodsucker.......
YOU THINK YOU ARE GOD, BUT YOU ARE ONLY A CHUNK OF SHIT".
A la première exécution du fichier WIN.COM (Windows
95/98/Me) ou NTLDR (Windows NT) infecté, le virus écrase
les fichiers du disque, voire en plus efface la mémoire CMOS
et flashe le BIOS (Windows 95/98/Me).
Magistr.B
est difficile
à éliminer, il est possible que certains fichiers
ne soient pas désinfectables et nécessitent
d'être remplacés par des versions saines.
Télécharger
FixMagistrB (Trend Micro) pour rechercher et éliminer
le virus
Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
Magister.B,
un virus hautement destructif
07/09 - VNUNet (lire
l'article)
Lot
hebdomadaire de virii
05/09 - Réseaux & Télécoms (lire
l'article)
|
