ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.MSWord.Layla

Classe Virus
Plataforma MSWord
Descrição

Detalhes técnicos

É um perigoso vírus de macro invisível. Ele contém dez macros em um módulo "TJ": AutoOpen, LAYLA, AutoExec, AutoExit, AutoClose, FileClose, ToolsMacro, ToolsCustomize, FileTemplates, ViewVBCode.

Ele infecta a área de macros globais ao abrir um documento infectado (AutoOpen) e infecta outros documentos ao abrir e fechar (AutoOpen, AutoClose).

O vírus desativa a proteção contra vírus do Word (a opção VirusProtection) e exclui o módulo "NewMacros" que contém macros definidas pelo usuário. Também desativa os menus Ferramentas / Macro, Ferramentas / Personalizar (stealth). Ao abrir o editor do Visual Basic, o vírus fecha o Word sem salvar as alterações nos documentos.

No dia 27 ou 29 de qualquer mês, ao fechar documentos, o vírus executa seu procedimento de carga útil. Ao abrir o Word nestes dias, o vírus exibe na barra de status o texto:


Dia excelente … para mim … 🙂

O procedimento de carga útil também é executado no documento de abertura no 27º ou 29º segundo de minuto. Este procedimento substitui todos os dígitos pelo texto "Tj" ou "Layla" depende do dia do mês. Também substitui todo 9º caractere no documento pelo signo de Áries.

Ao sair do Word, o vírus pesquisa nos subdiretórios "c:", "c: arquivos de programa", "d:" e "e:" nos arquivos com curinga "* d * r * w *. *" (Procurando por DrWeb anti -virus) e apaga todos os arquivos nos diretórios onde foram encontrados arquivos adequados. Em seguida, ele procura por "* a * v * p *. *" E exclui os arquivos "* .avc" e "* .key" (bancos de dados antivírus e arquivo de chaves AVP). Como resultado de curingas bastante fragmentadas, o vírus pode excluir muitos outros arquivos.

O vírus também muda as seguintes informações:


UserName = ""
UserInitials = "TJ_LAYLA"
UserAddress = ""


Link para o original