Pour le virus Winevar, vous êtes un idiot. Il vous l'explique tranquillement après avoir infecté votre PC, et juste avant de tout effacer.

au sommaire

    Crédit : Symantec

    Crédit : Symantec

    Comme beaucoup de ses congénères, Winevar arrive d'abord dans votre boîte aux lettres, sous la forme de trois pièces jointes à un courrier. Leurs noms sont variables, mais commencent tous par "Win" et les fichiers ont pour extension .htm, .ceo et .pif.

    Si vous exécutez le fichier .pif le virus entreprend quelques gros chantiers sur votre PC : il commence par tuer tous les programmes en mémoire qui pourraient être un antivirus ou un firewall personnel. Il s'assure ensuite d'être réveillé automatiquement au prochain démarrage du PC, en modifiant la base de registre. Il crée enfin une nouvelle copie de lui-même, chargée de faire le sale boulot.

    Selon le temps écoulé depuis l'infection, cette dernière peut décider d'activer la charge offensive du virus. Si c'est le cas, elle affiche alors une fenêtrefenêtre qui indique ce qu'il pense de l'utilisateur qui vient de l'exécuter, avant d'effacer l'intégralité du disque dur à partir duquel le virus a été lancé.

    Si la charge offensive n'est pas activée cette fois-ci, le virus détermine si le PC est connecté à InternetInternet. Si ce n'est pas le cas, il infecte le système avec le virus Funlove.

    Sinon, il passe en mode "ver", et récupère des adresses email, confectionne un email infecté avec de nouvelles copies de lui-même, et les envoie à tous les correspondants, via son propre serveurserveur SMTPSMTP. Enfin, pour faire bonne mesure, Winvar tente un déni de servicedéni de service depuis la machine infectée vers le site web de l'éditeur Symantec, en demandant à lire la page d'index du site chaque milliseconde.

    Tous les antivirus détectent désormais Winevar, et il ne devrait pas être difficile de l'identifier. La désinfection manuelle est également très simple, puisqu'il suffit d'effacer les fichiers et les entrées de la base de registres créés par le virus. Enfin, Symantec propose sur son site un outil de détection de désinfection gratuit pour Winevar.

    En savoir plus :

    - Les informations de Symantec sur le virus Winevar (en anglais)
    - L'outil gratuit de Symantec (détection et désinfection de Winevar)