Les virus macro (cfr. analyse de virus : script virus macro, Atom)

Avant de commencer toute analyse, il faut définir la notion MACRO. « Une macro est une série de commandes destinée a effectuer automatiquement quelques tâches d’une application spécifique ». (Définition : Intro to macro viruses, site de l’antivirus Dr Solomon). Certaines applications autorisent à leurs macros un accès aux fichiers, c’est à partir de ces programmes qu’il est possible de créer des macros se recopiant par elles même. On peut dès lors les appeler virus (C.F.R. def. Virus). Le premier virus macro (DMV : infecte WORD) fut écrit par J. McNamara dans un but de démonstration. Le but était de prouver qu’il est possible de créer de tels virus. Les premiers virus macros destructeurs apparurent en été; 1995. Ils infectaient presque tous Word. Atom, dont le script se trouve en analysé sur ce site est un des premiers virus macro. Le nombre de virus macro devrait avoisiner les 1 800 (on en découvre plus de 5 chaque jour).

Le fonctionnement d’un virus macro est relativement simple : Soit, il recherche des fichiers cible et les infecte (comparable aux virus classiques), soit, le virus infecte un fichier appelé NORMAL.DOT Ce fichier pourrait être comparé au secteur d’amorçage du programme. (voir analyse : il se copie dans le normal.dot). Celui-ci peut aussi contenir des macros. Or il existe des noms de macros qui sont exécutés automatiquement lors d’une action donnée (AutoExit, quand on quitte le programme ; AutoClose, lorsque l’on ferme un document, AutoOpen, quand on ouvre un fichier, ...). C’est donc ainsi que le virus se répand. Les virus infectant ces macros peuvent être comparés aux virus furtifs qui infectaient les interruptions, les fonctions du système. De manière générale les virus ont quelques caractéristiques supplémentaires qui les caractérisent :

- Infection ou non du fichier NORMAL.DOT (ou équivalent).
- Modification des menus. Save As (sauvant le virus en plus du document), par exemple.
- Emploi de raccourcis clavier, c’est à dire qu’ils entrent en action dès qu’on tape une certaine combinaison de touches (Pex. : « t » ou « s », « CTRL + C », ...).
- Sauvegarde de la macro dans ou hors du fichier infecté.
- Certains dissimulent le menu macro empèchant le contrôle des macros. Et d’autres modifient ce menu de telle façon qu’il semble vide.(cfr virus furtifs)
- Virus et/ou données encryptées par mot de passe (cfr virus polymorphes)
- Infection de fichiers exécutables (com, exe, ...).

« L’avantage » de ces virus est l’évolution des macro. En effet, un virus prévu pour Word 2.0 ne fonctionnera probablement plus sous Word 6.0.

La plupart des virus macro se limitent à infecter les fichiers document mais il en existe aussi certains infectant les fichiers exécutables de DOS (et donc Windows aussi ! exemple : Anarchy.6093). Ces virus sont à la fois classiques et des virus macro.

Précédente - Retour - Suivante


*** Visitez notre Sponsor ! ***
Membre de ClickFR, Reseau francophone Paie-Par-Click