Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Esse vírus infecta documentos do Word97 e se espalha por meio de canais eletrônicos globais: o mIRC do chat-net e o MS Outlook Express. Este é o primeiro vírus de macro conhecido que usa o mIRC e o Outlook para espalhar a infecção. O vírus contém os comentários:



W97M / antiMARC por Lord Natas [Codebreakers 98]

com um agradecimento especial a Rhape79

"Somos apenas os brinquedos nas mãos de outro"

O código do vírus contém 15 macros em um módulo "Antimarc": antiMARC, mIRCDropper, OE, Atraso, AutoClose, AutoExec, AutoOpen, FileClose, FileExit, FileSave, FileSaveAs, ToolsMacro, FileTemplates, ViewVBCode, FormatStyle.

A macro antiMARC é a principal macro de vírus. Outros são os que não fazem nada (AutoExec) ou chamam essa macro para infectar documentos do Word97. A macro mIRCDropper envia os documentos infectados para a rede de bate-papo, a macro OE envia a mensagem infectada usando o Outlook Express.

O vírus replica no ambiente do Word na ativação de qualquer macro automática, exceto AutoExec, ou seja, o vírus infecta a área macro global e documentos em documentos abrindo, fechando, salvando, salvando com novo nome, ao entrar nas Ferramentas / Macro, Arquivo / Modelos e outros menus. Para copiar seu código, o vírus usa funções de exportação / importação através do arquivo SYSTEMMICROSOF.386 que é criado no diretório do Windows.

Dependendo do contador aleatório do sistema, o vírus também executa suas rotinas de difusão de Chat e Outlook. Ao enviar sua cópia para o Chat, o vírus usa o utilitário MIRC32.EXE. Ele desativa as mensagens de aviso do mIRC no arquivo do sistema mIRC C: MIRCMIRC.INI, cria o arquivo infectado C: WINDOWSXXXPASSWORDS.DOC e o script C: MIRCSCRIPT.INI.

O arquivo de script de vírus contém as instruções que enviam o arquivo XXXPASSWORDS.DOC infectado a todos os usuários que ingressam no bate-papo. Se houver uma mensagem com substring "marcsux", o vírus envia para o host desta mensagem o texto: "# gotinfected777 X". O vírus também envia a mensagem para o chat:



marc FuCk YoU FaScIsT

warblade Ainda chupando o pau de MARC ?? eh, claro que você faz !!

Ei, M0therfux0r, empurre o X / W para o seu cu coberto de espinhas!

super 'Nós não suportamos a distribuição de vírus' – eu acho que você faz agora, cadela!

# gotinfected777 Chute-me! Eu sou InFeCtEd!

Ao se enviar usando o MS Outlook Express, o vírus cria um arquivo infectado nomeado aleatoriamente na unidade C :, seleciona o 20º endereço no Catálogo de Endereços, cria uma nova mensagem, preenche-a com letras aleatórias, anexa o arquivo infectado e anexa a linha de rodapé:



J97Z / nagvZNEP ol Ybeq Angnf [Pbqroernxref 98]

Este procedimento não é independente do idioma e funciona somente na versão em alemão do Outlook Express.

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Virus
Plataforma	MSWord
Descrição	Detalhes técnicos Esse vírus infecta documentos do Word97 e se espalha por meio de canais eletrônicos globais: o mIRC do chat-net e o MS Outlook Express. Este é o primeiro vírus de macro conhecido que usa o mIRC e o Outlook para espalhar a infecção. O vírus contém os comentários: W97M / antiMARC por Lord Natas [Codebreakers 98] com um agradecimento especial a Rhape79 "Somos apenas os brinquedos nas mãos de outro" O código do vírus contém 15 macros em um módulo "Antimarc": antiMARC, mIRCDropper, OE, Atraso, AutoClose, AutoExec, AutoOpen, FileClose, FileExit, FileSave, FileSaveAs, ToolsMacro, FileTemplates, ViewVBCode, FormatStyle. A macro antiMARC é a principal macro de vírus. Outros são os que não fazem nada (AutoExec) ou chamam essa macro para infectar documentos do Word97. A macro mIRCDropper envia os documentos infectados para a rede de bate-papo, a macro OE envia a mensagem infectada usando o Outlook Express. O vírus replica no ambiente do Word na ativação de qualquer macro automática, exceto AutoExec, ou seja, o vírus infecta a área macro global e documentos em documentos abrindo, fechando, salvando, salvando com novo nome, ao entrar nas Ferramentas / Macro, Arquivo / Modelos e outros menus. Para copiar seu código, o vírus usa funções de exportação / importação através do arquivo SYSTEMMICROSOF.386 que é criado no diretório do Windows. Dependendo do contador aleatório do sistema, o vírus também executa suas rotinas de difusão de Chat e Outlook. Ao enviar sua cópia para o Chat, o vírus usa o utilitário MIRC32.EXE. Ele desativa as mensagens de aviso do mIRC no arquivo do sistema mIRC C: MIRCMIRC.INI, cria o arquivo infectado C: WINDOWSXXXPASSWORDS.DOC e o script C: MIRCSCRIPT.INI. O arquivo de script de vírus contém as instruções que enviam o arquivo XXXPASSWORDS.DOC infectado a todos os usuários que ingressam no bate-papo. Se houver uma mensagem com substring "marcsux", o vírus envia para o host desta mensagem o texto: "# gotinfected777 X". O vírus também envia a mensagem para o chat: marc FuCk YoU FaScIsT warblade Ainda chupando o pau de MARC ?? eh, claro que você faz !! Ei, M0therfux0r, empurre o X / W para o seu cu coberto de espinhas! super 'Nós não suportamos a distribuição de vírus' – eu acho que você faz agora, cadela! # gotinfected777 Chute-me! Eu sou InFeCtEd! Ao se enviar usando o MS Outlook Express, o vírus cria um arquivo infectado nomeado aleatoriamente na unidade C :, seleciona o 20º endereço no Catálogo de Endereços, cria uma nova mensagem, preenche-a com letras aleatórias, anexa o arquivo infectado e anexa a linha de rodapé: J97Z / nagvZNEP ol Ybeq Angnf [Pbqroernxref 98] Este procedimento não é independente do idioma e funciona somente na versão em alemão do Outlook Express.
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Virus.MSWord.Antimarc

Detalhes técnicos