Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Esse vírus se replica da mesma maneira que outros vírus do Excel. Ele conecta eventos do sistema (ativação de janelas – OnWindows) e copia seu código para cada folha que é ativada. Na primeira inicialização (ao abrir uma planilha infectada pela primeira vez), o vírus se instala no sistema: registra seu arquivo host como Add-In com o nome XLSHEET.XLA no diretório C: WINDOWS atual ou no diretório. Nessa solicitação, o Excel cria automaticamente uma nova cópia do documento infectado (com o nome XLSHEET.XLA) e, em cada próximo início do Excel, ele carregará e ativará esse suplemento, ou seja, o código do vírus. Como resultado, após a criação do Infectado, o vírus fica ativo o tempo todo em que o Excel é executado e infecta todos os arquivos abertos ou criados.

O vírus é de origem francesa (veja os nomes das rotinas abaixo), mas é capaz de infectar e replicar em qualquer versão local do Excel a partir de 4.

O vírus tem cinco rotinas: auto_ouvrir, activation_feuille, protect, !!! GO, auto_fermer. Todos eles (exceto !!! GO) chamam a rotina de infecção. Dependendo do contador aleatório do sistema (com probabilidade de 2%), o vírus ativa a sub-rotina de trigger (isto é, coloca a rotina GO!). A rotina de disparo oculta todas as tabelas abertas e elementos do Excel (botões, menus, barra de status) e substitui o texto "Microsoft Excel" na parte superior da janela do Excel pelo texto: "Enfin la paix …"

Não é possível detectar e desinfectar o vírus usando métodos padrão (inserindo Ferramentas / Macro e procurando macros) porque o vírus define o atributo VeryHidden para suas macros. Tal atributo não pode ser desativado usando menus do Excel. Para localizar e examinar o código de vírus necessário para escrever uma rotina especial no Excel Basic (rotina de macros).

Como resultado, um usuário não possui ferramentas para detectar esse vírus em seu computador, e todos os programas antivírus conhecidos não podem detectá-lo agora. O vírus pode ser encontrado apenas por seus vestígios:



– no menu Ferramentas / Suplementos, há referência para o arquivo XLSHEET

– arquivos infectados contêm as cadeias de texto:

Enfin la paix …

!!!IR

A proteção parcial pode ser obtida criando-se no diretório C: WINDOWS o arquivo fictício Somente Leitura com o nome XLSHEET.XLA. Depois disso, o vírus não poderá instalar seu Add-In no diretório C: WINDOWS. Se ele criar esse suplemento em outros diretórios, você também deve criar o mesmo arquivo XLSHEET.XLA fictício nesses diretórios.

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Virus
Plataforma	MSExcel
Descrição	Detalhes técnicos Esse vírus se replica da mesma maneira que outros vírus do Excel. Ele conecta eventos do sistema (ativação de janelas – OnWindows) e copia seu código para cada folha que é ativada. Na primeira inicialização (ao abrir uma planilha infectada pela primeira vez), o vírus se instala no sistema: registra seu arquivo host como Add-In com o nome XLSHEET.XLA no diretório C: WINDOWS atual ou no diretório. Nessa solicitação, o Excel cria automaticamente uma nova cópia do documento infectado (com o nome XLSHEET.XLA) e, em cada próximo início do Excel, ele carregará e ativará esse suplemento, ou seja, o código do vírus. Como resultado, após a criação do Infectado, o vírus fica ativo o tempo todo em que o Excel é executado e infecta todos os arquivos abertos ou criados. O vírus é de origem francesa (veja os nomes das rotinas abaixo), mas é capaz de infectar e replicar em qualquer versão local do Excel a partir de 4. O vírus tem cinco rotinas: auto_ouvrir, activation_feuille, protect, !!! GO, auto_fermer. Todos eles (exceto !!! GO) chamam a rotina de infecção. Dependendo do contador aleatório do sistema (com probabilidade de 2%), o vírus ativa a sub-rotina de trigger (isto é, coloca a rotina GO!). A rotina de disparo oculta todas as tabelas abertas e elementos do Excel (botões, menus, barra de status) e substitui o texto "Microsoft Excel" na parte superior da janela do Excel pelo texto: "Enfin la paix …" Não é possível detectar e desinfectar o vírus usando métodos padrão (inserindo Ferramentas / Macro e procurando macros) porque o vírus define o atributo VeryHidden para suas macros. Tal atributo não pode ser desativado usando menus do Excel. Para localizar e examinar o código de vírus necessário para escrever uma rotina especial no Excel Basic (rotina de macros). Como resultado, um usuário não possui ferramentas para detectar esse vírus em seu computador, e todos os programas antivírus conhecidos não podem detectá-lo agora. O vírus pode ser encontrado apenas por seus vestígios: – no menu Ferramentas / Suplementos, há referência para o arquivo XLSHEET – arquivos infectados contêm as cadeias de texto: Enfin la paix … !!!IR A proteção parcial pode ser obtida criando-se no diretório C: WINDOWS o arquivo fictício Somente Leitura com o nome XLSHEET.XLA. Depois disso, o vírus não poderá instalar seu Add-In no diretório C: WINDOWS. Se ele criar esse suplemento em outros diretórios, você também deve criar o mesmo arquivo XLSHEET.XLA fictício nesses diretórios.
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Virus.MSExcel.Paix

Detalhes técnicos