CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.Win32.Initx

Classe Virus
Plateforme Win32
Description

Détails techniques

Initx est un virus Win32 résident inoffensif par processus. Il infecte les fichiers exécutables Windows Portable (PE) qui ont l'extension ".EXE". Le virus se compose de deux parties: sa routine de démarrage stockée dans des fichiers infectés et le fichier de bibliothèque de liens dynamiques (DLL) appelé "initx.dat".

Réplication
Le virus recherche les fichiers appropriés avec l'extension ".EXE" dans les répertoires système Windows et Windows, et tous les partages réseau de l'ordinateur et tente de les infecter. Si le nom de l'ordinateur commence par "CT" dans tous les cas, le virus ne se réplique que dans les répertoires partagés.

Lors de l'infection d'un fichier, le virus crée sa copie nommée "initx.dat" dans le répertoire de l'hôte. Ensuite, il ajoute sa routine de démarrage longue de 28 octets à la section de code de l'hôte, de sorte que le fichier "initx.dat" est chargé en tant que bibliothèque lorsqu'un fichier infecté est exécuté. La routine de démarrage est insérée dans l'espace inutilisé de la section de code, de sorte que la taille du fichier reste inchangée.

Le processus d'infection ressemble à ceci:

 Annuaire infecté Annuaire des victimes
 ------------------ ----------------
  fichier1 fichier4
  fichier2 fichier5
  ... ...
  infected file.exe host.exe <--- est infecté par 
                                                       écrire le démarrage 
                                                       routine (28 octets)
                                                       à la section du code
  initx.dat -> initx.dat <--- copie de la main 
                                                       une partie du virus

Charge utile
Le virus essaie de trouver et de se connecter à l'hôte du réseau appelé "ct". Si la connexion est réussie, elle transmet le nom de l'ordinateur infecté à cet hôte. Il crée également un partage réseau masqué avec le nom "ADMIN $" qui pointe vers le répertoire Windows.


Lien vers l'original