Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Esse é o primeiro macro-vírus conhecido a infectar documentos, estênceis e modelos do Visio (o Visio é o sistema para criar, editar e armazenar diagramas e desenhos de negócios – consulte http://www.visio.com). Para automatizar o processamento de dados, o Visio usa macroprogramas escritos em linguagem VBA (Visual Basic for Applications) – o mesmo que é usado em aplicativos do MS Office. Como resultado, os vírus no Visio são muito semelhantes aos vírus do MS Office e podem infectar os arquivos do Visio de maneira muito semelhante.

O vírus em si é bastante simples. Ele contém um procedimento que é atribuído com o evento "BeforeDocumentClose" (ele é ativado no fechamento do documento). Quando o procedimento de vírus ganha controle, ele enumera e infecta todos os documentos abertos. Devido à estrutura interna do Visio, o vírus, ao pesquisar documentos, enumera não apenas arquivos de documentos, mas também estênceis e modelos.

Os estênceis do Visio são semelhantes, por exemplo, aos modelos do Word. Esses arquivos contêm dados da biblioteca para uso comum ao criar e editar documentos do Visio. Esses estênceis são automaticamente abertos e processados pelo Visio em caso de necessidade (se um documento os utilizar). Caso esses stencils estejam infectados, o vírus é carregado quando um documento acessa um stencil infectado e é ativado no fechamento deste stencil. Neste momento, o vírus infecta todos os arquivos do Visio que são abertos. Como resultado, se os estênceis do Visio estiverem infectados, todos os documentos criados ou editados serão infectados no fechamento.

Devido a esse recurso do Visio, o vírus pode se espalhar rapidamente pelos arquivos do Visio.

O vírus tem um procedimento de carga útil: a cada lançamento, ele cria o arquivo INDEX.HTML no diretório raiz da unidade C :. Este arquivo contém a seguinte mensagem:

       Uma infinidade de sóis
      Orbitar no espaço vazio
   Eles falam com sua luz
       para tudo que é escuro.
    Para mim, eles permanecem em silêncio.

  Cumprimenta a toda a comunidade VX
        E anjos radiantes

           Está......

            Radiante

No final do macro-código do vírus, há uma pequena linha de símbolos (um comentário). Parece que essa linha é uma informação criptografada sobre o autor do vírus, mas o tipo de criptografia e a chave usada para criptografar a cadeia de texto são desconhecidos.

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Virus
Plataforma	MSVisio
Descrição	Detalhes técnicos Esse é o primeiro macro-vírus conhecido a infectar documentos, estênceis e modelos do Visio (o Visio é o sistema para criar, editar e armazenar diagramas e desenhos de negócios – consulte http://www.visio.com). Para automatizar o processamento de dados, o Visio usa macroprogramas escritos em linguagem VBA (Visual Basic for Applications) – o mesmo que é usado em aplicativos do MS Office. Como resultado, os vírus no Visio são muito semelhantes aos vírus do MS Office e podem infectar os arquivos do Visio de maneira muito semelhante. O vírus em si é bastante simples. Ele contém um procedimento que é atribuído com o evento "BeforeDocumentClose" (ele é ativado no fechamento do documento). Quando o procedimento de vírus ganha controle, ele enumera e infecta todos os documentos abertos. Devido à estrutura interna do Visio, o vírus, ao pesquisar documentos, enumera não apenas arquivos de documentos, mas também estênceis e modelos. Os estênceis do Visio são semelhantes, por exemplo, aos modelos do Word. Esses arquivos contêm dados da biblioteca para uso comum ao criar e editar documentos do Visio. Esses estênceis são automaticamente abertos e processados pelo Visio em caso de necessidade (se um documento os utilizar). Caso esses stencils estejam infectados, o vírus é carregado quando um documento acessa um stencil infectado e é ativado no fechamento deste stencil. Neste momento, o vírus infecta todos os arquivos do Visio que são abertos. Como resultado, se os estênceis do Visio estiverem infectados, todos os documentos criados ou editados serão infectados no fechamento. Devido a esse recurso do Visio, o vírus pode se espalhar rapidamente pelos arquivos do Visio. O vírus tem um procedimento de carga útil: a cada lançamento, ele cria o arquivo INDEX.HTML no diretório raiz da unidade C :. Este arquivo contém a seguinte mensagem: Uma infinidade de sóis Orbitar no espaço vazio Eles falam com sua luz para tudo que é escuro. Para mim, eles permanecem em silêncio. Cumprimenta a toda a comunidade VX E anjos radiantes Está...... Radiante No final do macro-código do vírus, há uma pequena linha de símbolos (um comentário). Parece que essa linha é uma informação criptografada sobre o autor do vírus, mas o tipo de criptografia e a chave usada para criptografar a cadeia de texto são desconhecidos.
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Virus.MSVisio.Radiant

Detalhes técnicos