Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Este vírus de macro infecta documentos do Office 97 Word e planilhas do Excel. Foi nomeado após a sua localização interna: "teonanacatl". É o segundo macro-vírus conhecido (depois de "Access / Word97.Cross") que é capaz de infectar vários aplicativos do MS Office.

O código do vírus é colocado em um módulo chamado StrangeDays e contém oito funções:

AutoClose – Auto-função do Word, contém rotina de infecção

AutoOpen – Auto-função do Word, desabilita o editor de código VisualBasic (stealth)

AutoExit – Função automática do Word, chama AutoClose para infectar o documento

ToolsMacro – desativa a visualização de macros (stealth)

ToolsOptions – desativa a visualização de macros (stealth)

FileTemplates – desativa a visualização de macros (stealth)

ViewVBCode – desativa a visualização de macros (stealth)

Auto_Open – Excel função automática, engancha rotina de ativação de folha

O vírus espalha seu código sob o aplicativo "nativo" (Word-> Word, Excel-> Excel), bem como descarta arquivos infectados para outro aplicativo (Word-> Excel e Excel-> Word). Em ambos os documentos infectados do Word e planilhas do Excel, o vírus tem o mesmo código básico. Ele é escrito de maneira tão precisa que pode ser executado sem erros no Word e Excel no Office97.

Para infectar objetos "nativos" (documentos ou folhas), o vírus usa as funções Importar / Exportar VisualBasic: o vírus exporta seu código Básico para o arquivo C: LO.SYS e o importa para documentos não infectados (em Word) e folhas (Excel). No caso do Word, para infectar outros documentos, o vírus intercepta as funções automáticas AutoClose e AutoExit e infecta documentos que estão fechados ou ao sair do Word. No caso do Excel, o vírus conecta a rotina de ativação de planilha, a função automática Auto_Open faz isso quando uma planilha infectada é aberta.

Para infectar outro aplicativo, o vírus usa um truque com a capacidade de carregamento automático do Word e do Excel para carregar modelos (Word) e planilhas (Excel) do diretório de inicialização. Para infectar o Word do Excel, o vírus cria novos arquivos NORMAL.DOT (Word) e PERSONAL.XLS (Excel) no diretório de inicialização.

Ambos NORMAL.DOT e PERSONAL.XLS contêm apenas uma pequena rotina de 17 linhas que não é o vírus em si, mas o carregador de vírus. Esse carregador tem um nome automático (Auto_Close no Excel e AutoExec no Word) e é executado pelo sistema, quando o Word é iniciado, com um NORMAL.DOT infectado ou o Excel fecha com um PERSONAL.XLS infectado. Em ambos os casos, o carregador lê (importa) o código de vírus completo do arquivo C: LO.SYS para o objeto atual (modelo NORMAL ou PERSONAL.XLS) e, como resultado, o infecta. O carregador então salva o resultado infectado no arquivo original (NORMAL.DOT ou PERSONAL.XLS) e sai. No próximo carregamento, o Word e o Excel carregarão seus arquivos NORMAL.DOT e PERSONAL.XLS com o código completo do vírus e, como resultado, o vírus continuará sua propagação.

O vírus tem habilidades furtivas e anti-aviso: desativa os itens de menu Ferramentas / Macro, Ferramentas / Opções, Arquivo / Modelos e Visualizar / VBCode, bem como desativa o VisualBasicEditor e o VirusProtection. Também altera as instruções do VirusProtection no registro do sistema.

No dia 26 de qualquer mês, ele exibe um MessageBox e exclui todos os arquivos no diretório atual, e o texto no MessageBox é o seguinte:

Dias Estranhos por Réptil / 29A

Dias estranhos nos encontraram

Dias estranhos nos rastrearam

Eles vão destruir …

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Virus
Plataforma	MSOffice
Descrição	Detalhes técnicos Este vírus de macro infecta documentos do Office 97 Word e planilhas do Excel. Foi nomeado após a sua localização interna: "teonanacatl". É o segundo macro-vírus conhecido (depois de "Access / Word97.Cross") que é capaz de infectar vários aplicativos do MS Office. O código do vírus é colocado em um módulo chamado StrangeDays e contém oito funções: AutoClose – Auto-função do Word, contém rotina de infecção AutoOpen – Auto-função do Word, desabilita o editor de código VisualBasic (stealth) AutoExit – Função automática do Word, chama AutoClose para infectar o documento ToolsMacro – desativa a visualização de macros (stealth) ToolsOptions – desativa a visualização de macros (stealth) FileTemplates – desativa a visualização de macros (stealth) ViewVBCode – desativa a visualização de macros (stealth) Auto_Open – Excel função automática, engancha rotina de ativação de folha O vírus espalha seu código sob o aplicativo "nativo" (Word-> Word, Excel-> Excel), bem como descarta arquivos infectados para outro aplicativo (Word-> Excel e Excel-> Word). Em ambos os documentos infectados do Word e planilhas do Excel, o vírus tem o mesmo código básico. Ele é escrito de maneira tão precisa que pode ser executado sem erros no Word e Excel no Office97. Para infectar objetos "nativos" (documentos ou folhas), o vírus usa as funções Importar / Exportar VisualBasic: o vírus exporta seu código Básico para o arquivo C: LO.SYS e o importa para documentos não infectados (em Word) e folhas (Excel). No caso do Word, para infectar outros documentos, o vírus intercepta as funções automáticas AutoClose e AutoExit e infecta documentos que estão fechados ou ao sair do Word. No caso do Excel, o vírus conecta a rotina de ativação de planilha, a função automática Auto_Open faz isso quando uma planilha infectada é aberta. Para infectar outro aplicativo, o vírus usa um truque com a capacidade de carregamento automático do Word e do Excel para carregar modelos (Word) e planilhas (Excel) do diretório de inicialização. Para infectar o Word do Excel, o vírus cria novos arquivos NORMAL.DOT (Word) e PERSONAL.XLS (Excel) no diretório de inicialização. Ambos NORMAL.DOT e PERSONAL.XLS contêm apenas uma pequena rotina de 17 linhas que não é o vírus em si, mas o carregador de vírus. Esse carregador tem um nome automático (Auto_Close no Excel e AutoExec no Word) e é executado pelo sistema, quando o Word é iniciado, com um NORMAL.DOT infectado ou o Excel fecha com um PERSONAL.XLS infectado. Em ambos os casos, o carregador lê (importa) o código de vírus completo do arquivo C: LO.SYS para o objeto atual (modelo NORMAL ou PERSONAL.XLS) e, como resultado, o infecta. O carregador então salva o resultado infectado no arquivo original (NORMAL.DOT ou PERSONAL.XLS) e sai. No próximo carregamento, o Word e o Excel carregarão seus arquivos NORMAL.DOT e PERSONAL.XLS com o código completo do vírus e, como resultado, o vírus continuará sua propagação. O vírus tem habilidades furtivas e anti-aviso: desativa os itens de menu Ferramentas / Macro, Ferramentas / Opções, Arquivo / Modelos e Visualizar / VBCode, bem como desativa o VisualBasicEditor e o VirusProtection. Também altera as instruções do VirusProtection no registro do sistema. No dia 26 de qualquer mês, ele exibe um MessageBox e exclui todos os arquivos no diretório atual, e o texto no MessageBox é o seguinte: Dias Estranhos por Réptil / 29A Dias estranhos nos encontraram Dias estranhos nos rastrearam Eles vão destruir …
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Virus.MSOffice.Teocatl

Detalhes técnicos