CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.SWScript.LFM

Classe Virus
Plateforme SWScript
Description

Détails techniques

texte écrit par Costin Raiu, Kasperskys, Roumanie

C'est le premier virus connu pour infecter les fichiers Macromedia Shockwave (.SWF), qui sont couramment utilisés pour divers types d'animations sur le World Wide Web; par exemple dans des cartes électroniques animées ou des salutations électroniques. Le virus ne fonctionne pas si un fichier Shockwave .SWF infecté est chargé dans le plug-in distribué avec la plupart des versions plus récentes des navigateurs Netscape et Internet Explorer. Il ne s'exécute et ne se réplique que si l'utilisateur charge manuellement l'animation infectée dans le Shockwave autonome. Application Flash Player, qui limite grandement le danger que représente le virus pour la plupart des utilisateurs d'ordinateurs. À l'heure actuelle, aucun virus n'a été signalé «in-the-wild», et nous ne prévoyons pas qu'il se généralisera.

Détails techniques

Le virus fonctionne en profitant du langage de script disponible dans les animations Shockwave – il est lui-même stocké en tant que script Shockwave qui supprime un exécutable .COM nommé "V.COM" de 926 octets. L'exécutable DOS est déposé sur le disque via un script DEBUG standard, mais cela ne fonctionne que sur les systèmes Windows NT, 2000 et XP, car le script dropper tente d'appeler le préprocesseur de ligne de commande "cmd.exe", qui n'est pas disponible Win9X / ME installations. Une fois exécuté, le programme V.COM recherchera tous les fichiers * .SWF dans le répertoire courant, s'assurera qu'ils ne sont pas en lecture seule, cachés ou système, afin qu'ils puissent être écrits, et il tentera de les infecter. Tout d'abord, il vérifiera s'ils ont la signature "FWSx99" standard, et si c'est le cas, le virus procédera à la création d'un nouveau compte-gouttes Shockwave semblable à celui utilisé pour déposer initialement l'exécutable "V.COM" sur le disque. Le compte-gouttes de script Shockwave est créé dans une partie de la mémoire allouée dynamiquement, et est écrit au début du fichier Shockwave cible.


Lien vers l'original