ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.MSExcel.Paix

Classe Virus
Plataforma MSExcel
Descrição

Detalhes técnicos

Esse vírus se replica da mesma maneira que outros vírus do Excel. Ele conecta eventos do sistema (ativação de janelas – OnWindows) e copia seu código para cada folha que é ativada. Na primeira inicialização (ao abrir uma planilha infectada pela primeira vez), o vírus se instala no sistema: registra seu arquivo host como Add-In com o nome XLSHEET.XLA no diretório C: WINDOWS atual ou no diretório. Nessa solicitação, o Excel cria automaticamente uma nova cópia do documento infectado (com o nome XLSHEET.XLA) e, em cada próximo início do Excel, ele carregará e ativará esse suplemento, ou seja, o código do vírus. Como resultado, após a criação do Infectado, o vírus fica ativo o tempo todo em que o Excel é executado e infecta todos os arquivos abertos ou criados.

O vírus é de origem francesa (veja os nomes das rotinas abaixo), mas é capaz de infectar e replicar em qualquer versão local do Excel a partir de 4.

O vírus tem cinco rotinas: auto_ouvrir, activation_feuille, protect, !!! GO, auto_fermer. Todos eles (exceto !!! GO) chamam a rotina de infecção. Dependendo do contador aleatório do sistema (com probabilidade de 2%), o vírus ativa a sub-rotina de trigger (isto é, coloca a rotina GO!). A rotina de disparo oculta todas as tabelas abertas e elementos do Excel (botões, menus, barra de status) e substitui o texto "Microsoft Excel" na parte superior da janela do Excel pelo texto: "Enfin la paix …"

Não é possível detectar e desinfectar o vírus usando métodos padrão (inserindo Ferramentas / Macro e procurando macros) porque o vírus define o atributo VeryHidden para suas macros. Tal atributo não pode ser desativado usando menus do Excel. Para localizar e examinar o código de vírus necessário para escrever uma rotina especial no Excel Basic (rotina de macros).

Como resultado, um usuário não possui ferramentas para detectar esse vírus em seu computador, e todos os programas antivírus conhecidos não podem detectá-lo agora. O vírus pode ser encontrado apenas por seus vestígios:


– no menu Ferramentas / Suplementos, há referência para o arquivo XLSHEET
– arquivos infectados contêm as cadeias de texto:
Enfin la paix …
!!!IR

A proteção parcial pode ser obtida criando-se no diretório C: WINDOWS o arquivo fictício Somente Leitura com o nome XLSHEET.XLA. Depois disso, o vírus não poderá instalar seu Add-In no diretório C: WINDOWS. Se ele criar esse suplemento em outros diretórios, você também deve criar o mesmo arquivo XLSHEET.XLA fictício nesses diretórios.


Link para o original