ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.MSWord.Mutalisk

Classe Virus
Plataforma MSWord
Descrição

Detalhes técnicos

Esse vírus de macro polimórfico invisível contém dez procedimentos em um módulo "ThisDocument": autoopen, autonew, viewvbcode, toolsmacro, filetemplates e três macros com nomes gerados aleatoriamente.

O vírus infecta a área de macros globais ao abrir um documento infectado (AutoOpen). Outros documentos contraem a infecção na abertura e criação. Ao infectar o vírus, a proteção contra vírus do Word é desativada (a opção VirusProtection). Em seguida, o vírus pesquisa na unidade C: AVP, F-PROT95, F-Macro, McAfee Virus Scan, Norton AntiVirus, TBAVW95 e alguns outros antivírus e exclui seus arquivos.

Se o cliente mIRC estiver instalado na pasta "C: MIRC", o vírus armazena apenas o documento aberto ou criado como "C: MIRCBACKUPY2K.DOC" e exclui o script padrão do mIRC (arquivo SCRIPT.INI, ele é executado toda vez que o cliente mIRC é iniciado) . O vírus então tenta criar um novo SCRIPT.INI para se espalhar através dos canais de IRC, mas como resultado de um erro, isso não acontece.

No documento aberto, o vírus abre a janela Editor do Visual Basic. Ao criar um documento, ele fecha a janela do Editor do Visual Basic, se estiver aberta. Ao pressionar a combinação Alt-F11 (comando do Visual Basic Editor) o primeiro módulo de código do vírus no documento ativo e o primeiro na área de macros globais (o que contém código de vírus) e somente depois disso torna a janela Visual Basic Editor visível.

O mecanismo polimórfico do vírus substitui os nomes de alguns procedimentos e insere comentários gerados aleatoriamente no código do vírus. Em resultado de um erro, por vezes, o mecanismo produz o código que não funciona.


Link para o original