Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Este é um vírus de macro específico alemão polimórfico. Não se manifesta de forma alguma. Ele contém três macros: AutoClose, ExtrasMakro, DateiDokVorlagen.

AutoClose é a macro automática que é executada ao fechar qualquer arquivo. O vírus usa esse gancho para se replicar no fechamento de documentos. ExtrasMakro e DateiDokVorlagen são macros exibindo / editando funções (Arquivo / Modelos, Ferramentas / Macro) em alemão MS Word, eles são rotinas de vírus furtivas.

O vírus tem um mecanismo stealth bastante incomum. Ao infectar a área de macros globais, copia para NORMAL.DOT apenas uma macro AutoClose. Duas outras macros são gravadas no arquivo 666.DOT que é colocado no diretório de inicialização do Word. Quando qualquer uma dessas macros assume o controle (ao digitar Arquivo / Modelos ou Ferramentas / Macro), o vírus move temporariamente seu AutoClose de NORMAL.DOT para o arquivo 666.DOT. Ao sair dessas funções, o vírus restaura a macro AutoClose no NORMAL.DOT. Assim, o vírus se protege de encontrar (stealth).

Em cada replicação, o vírus executa seu mecanismo de mutação polimórfica. Ele altera aleatoriamente os nomes de todas as variáveis e funções de vírus.

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	Virus
Plataforma	MSWord
Descrição	Detalhes técnicos Este é um vírus de macro específico alemão polimórfico. Não se manifesta de forma alguma. Ele contém três macros: AutoClose, ExtrasMakro, DateiDokVorlagen. AutoClose é a macro automática que é executada ao fechar qualquer arquivo. O vírus usa esse gancho para se replicar no fechamento de documentos. ExtrasMakro e DateiDokVorlagen são macros exibindo / editando funções (Arquivo / Modelos, Ferramentas / Macro) em alemão MS Word, eles são rotinas de vírus furtivas. O vírus tem um mecanismo stealth bastante incomum. Ao infectar a área de macros globais, copia para NORMAL.DOT apenas uma macro AutoClose. Duas outras macros são gravadas no arquivo 666.DOT que é colocado no diretório de inicialização do Word. Quando qualquer uma dessas macros assume o controle (ao digitar Arquivo / Modelos ou Ferramentas / Macro), o vírus move temporariamente seu AutoClose de NORMAL.DOT para o arquivo 666.DOT. Ao sair dessas funções, o vírus restaura a macro AutoClose no NORMAL.DOT. Assim, o vírus se protege de encontrar (stealth). Em cada replicação, o vírus executa seu mecanismo de mutação polimórfica. Ele altera aleatoriamente os nomes de todas as variáveis e funções de vírus.
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

Virus.MSWord.Dot666

Detalhes técnicos