CTX (virus informatique) - CTX (computer virus)
| Nom commun | CTX |
|---|---|
| Nom technique | W95/CTX |
| Alias | Simbiose |
| Famille | CTX |
| Classification | Virus |
| Taper | les fenêtres |
| Sous-type | Infecteur de fichiers Windows |
| Isolation | Septembre 1999 |
| Point d'isolement | Inconnu |
| Point d'origine | Espagne |
| Auteurs) | GriYo/29A |
CTX est un virus informatique créé en Espagne en 1999. CTX a été initialement découvert dans le cadre du ver Choléra, avec lequel l'auteur a intentionnellement infecté par CTX. Bien que le ver Cholera ait la capacité de s'envoyer par courrier électronique, le ver CTX l'a rapidement dépassé en prévalence. Le choléra est désormais considéré comme obsolète, tandis que le CTX reste sur le terrain, mais avec seulement de rares découvertes.
En mars 2006, CTX a de nouveau fait la une des journaux en raison d'un faux positif dans le programme McAfee VirusScan qui a provoqué des détections de CTX dans une série de fichiers inoffensifs.
Projet Simbiose et "Biocodage"
Le virus CTX est né dans le cadre du "Simbiosis (sic) Project". Le projet Simbiosis était une première tentative du groupe d'auteurs de virus 29A de combiner des infecteurs de fichiers Windows avec des vers de messagerie de masse Windows. Ce « projet » était une tentative de voir le succès de cette synthèse auparavant rare de menaces de logiciels malveillants. Le choléra/CTX est le seul virus documenté impliqué dans le projet Simbiose. Bien que CTX se soit répandu dans la nature, cela était remarquablement plus lié à ses fonctions d'infection de fichiers qu'à la fonction de publipostage du choléra.
CTX était également membre de la chaîne de virus « BioCoded ». La chaîne "BioCoded" semblait avoir peu à voir les unes avec les autres au-delà d'être nommées d'après des virus biologiques. D'autres membres de ce groupe incluent Marburg, Dengue, HPS, ce dernier étant une référence au syndrome pulmonaire à Hantavirus . Tous les virus "BioCoded" ont été répertoriés sur la WildList , y compris CTX. Malgré leurs noms menaçants, CTX et tous les virus BioCoded n'ont aucune charge utile au-delà des graphiques et, dans certains cas, la suppression des programmes antivirus.
Fonction du ver du choléra
Selon les normes actuelles, le choléra est un ver de publipostage assez banal, écrit en C++ . Cependant, Choléra était remarquable à sa création pour son utilisation de son propre serveur SMTP . Contrairement à la plupart des vers de l'époque, qui reposaient sur des installations de Microsoft Outlook ou de programmes de messagerie similaires, le choléra était capable d'envoyer ses propres e-mails via des mécanismes internes. Le choléra envoie ses e-mails avec la pièce jointe SETUP.EXE, d'une taille de 49 187 octets. Les e-mails sont collectés à partir de fichiers sur le disque dur de l'ordinateur infecté. Le choléra ne se propage que lorsqu'une autre application utilisant Internet est ouverte, pour éviter la détection à une époque où les modems commutés étaient la norme.
Lorsque SETUP.EXE est exécuté, Choléra affiche la fausse erreur : « Impossible d'ouvrir le fichier : il ne semble pas être une archive valide. Si vous avez téléchargé ce fichier, essayez de le télécharger à nouveau ».
Le choléra est également un ver de réseau , s'insérant dans les dossiers Windows des ordinateurs disponibles via le Voisinage réseau .
Enfin, Choléra s'ajoutera soit à WIN.INI ( Windows 95 et versions similaires) soit au Registre ( Windows NT et versions similaires).
Routine d'infection par CTX
Lors de l'exécution, que ce soit à partir d'un fichier infecté ou du compte-gouttes du choléra, CTX vérifiera si sa routine de charge utile doit s'activer (voir Charge utile). Sinon, CTX infectera les fichiers EXE . Le CTX a une nature polymorphe , qui n'est ni particulièrement simple ni de nature complexe. CTX masque également le point d'entrée des fichiers pour éviter la détection. Le virus évite d'infecter plus de cinq fichiers dans un dossier donné pour éviter d'être détecté. Les fichiers infectés par CTX sont complétés par un multiple de 101 octets pour éviter les réinfections.
Charge utile
CTX a une charge utile non destructive qui s'active rarement. Si un fichier est exécuté exactement six mois à une heure après l'infection et que les exigences vidéo sont suffisantes, CTX entrera dans une boucle infinie d'inversion des couleurs du bureau.
Prévalence
The WildList , une organisation qui traque les virus informatiques, a inclus CTX sur sa liste de menaces trouvées sur le terrain de novembre 2001 à mai 2005.
Faux positif de McAfee
Le 17 mars 2006, McAfee , fabricant de VirusScan , a annoncé qu'un faux positif avait provoqué la détection du virus CTX dans un certain nombre de fichiers innocents courants, dont Microsoft Excel . McAfee a publié une liste des fichiers concernés sur son site Web ici [1] .