ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.MSWord.Antimarc

Classe Virus
Plataforma MSWord
Descrição

Detalhes técnicos

Esse vírus infecta documentos do Word97 e se espalha por meio de canais eletrônicos globais: o mIRC do chat-net e o MS Outlook Express. Este é o primeiro vírus de macro conhecido que usa o mIRC e o Outlook para espalhar a infecção. O vírus contém os comentários:


W97M / antiMARC por Lord Natas [Codebreakers 98]
com um agradecimento especial a Rhape79
"Somos apenas os brinquedos nas mãos de outro"
O código do vírus contém 15 macros em um módulo "Antimarc": antiMARC, mIRCDropper, OE, Atraso, AutoClose, AutoExec, AutoOpen, FileClose, FileExit, FileSave, FileSaveAs, ToolsMacro, FileTemplates, ViewVBCode, FormatStyle.

A macro antiMARC é a principal macro de vírus. Outros são os que não fazem nada (AutoExec) ou chamam essa macro para infectar documentos do Word97. A macro mIRCDropper envia os documentos infectados para a rede de bate-papo, a macro OE envia a mensagem infectada usando o Outlook Express.

O vírus replica no ambiente do Word na ativação de qualquer macro automática, exceto AutoExec, ou seja, o vírus infecta a área macro global e documentos em documentos abrindo, fechando, salvando, salvando com novo nome, ao entrar nas Ferramentas / Macro, Arquivo / Modelos e outros menus. Para copiar seu código, o vírus usa funções de exportação / importação através do arquivo SYSTEMMICROSOF.386 que é criado no diretório do Windows.

Dependendo do contador aleatório do sistema, o vírus também executa suas rotinas de difusão de Chat e Outlook. Ao enviar sua cópia para o Chat, o vírus usa o utilitário MIRC32.EXE. Ele desativa as mensagens de aviso do mIRC no arquivo do sistema mIRC C: MIRCMIRC.INI, cria o arquivo infectado C: WINDOWSXXXPASSWORDS.DOC e o script C: MIRCSCRIPT.INI.

O arquivo de script de vírus contém as instruções que enviam o arquivo XXXPASSWORDS.DOC infectado a todos os usuários que ingressam no bate-papo. Se houver uma mensagem com substring "marcsux", o vírus envia para o host desta mensagem o texto: "# gotinfected777 X". O vírus também envia a mensagem para o chat:


marc FuCk YoU FaScIsT
warblade Ainda chupando o pau de MARC ?? eh, claro que você faz !!
Ei, M0therfux0r, empurre o X / W para o seu cu coberto de espinhas!
super 'Nós não suportamos a distribuição de vírus' – eu acho que você faz agora, cadela!
# gotinfected777 Chute-me! Eu sou InFeCtEd!
Ao se enviar usando o MS Outlook Express, o vírus cria um arquivo infectado nomeado aleatoriamente na unidade C :, seleciona o 20º endereço no Catálogo de Endereços, cria uma nova mensagem, preenche-a com letras aleatórias, anexa o arquivo infectado e anexa a linha de rodapé:

J97Z / nagvZNEP ol Ybeq Angnf [Pbqroernxref 98]
Este procedimento não é independente do idioma e funciona somente na versão em alemão do Outlook Express.


Link para o original