ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.MSWord.Outlaw

Classe Virus
Plataforma MSWord
Descrição

Detalhes técnicos

Estes são vírus de macro semi-polimórficos – enquanto infectam um arquivo, eles copiam suas três macros com nomes selecionados aleatoriamente, portanto não há um conjunto fixo para nomes de macros em arquivos infectados e NORMAL.DOT.

Para realizar este semi-polimorfismo, o vírus usa contador e temporizador aleatórios do sistema – enquanto seleciona o novo nome para macro, o vírus define a primeira letra no nome, dependendo da hora atual: 1 – 'A', 2 – 'B', 3 – 'C 'e assim por diante e, em seguida, acrescenta quatro dígitos selecionados aleatoriamente. Como resultado, os nomes selecionados aleatórios se parecem com: O8493, O7920, O9259 ou M8064, M8908, M8151.

Outra versão deste vírus pode usar outros esquemas para construir os nomes, "Outlaw.Goodbye" também inicia os nomes das macros de acordo com a hora atual, mas usa outro conjunto de letras: 1 – 'AZ', 2 – 'BY', 3 – 'CX' e assim por diante.

Não há macros automáticas no vírus e, para obter controle, o vírus atribui suas macros com pressionamentos de tecla: Tecla SPACE – macros que infectam a área de macros globais, tecla 'E' – macros que infectam o documento atual.

Para obter o nome da macro atual ao copiá-la e executar sua macro de carga útil, o vírus usa duas maneiras. Para obter seus nomes de um documento, o vírus cria três variáveis ​​no documento: VirNameDoc, VirName, VirNamePayload e salva os nomes atuais durante a infecção. Em caso de necessidade, o vírus recebe esses nomes de lá.

Para obter os nomes no caso de NORMAL.DOT (área de macros global) o vírus cria três registros contendo nomes atuais no perfil do sistema (arquivo Win.ini) na seção [Intl], essas seqüências de caracteres são:


[Intl]
Nome =
Name2 =
Name3 =

Em 20 de janeiro, o vírus "Outlaw" original executa sua rotina de trigger. No Windows95 e dependendo de várias outras condições, o vírus reproduz um som – ele baixa o arquivo LAUGH.WAV e o reproduz (esse arquivo contém risadas gravadas). O vírus também insere no documento atual as strings:


Você está infectado com
Bandido
Um vírus do Nightmare Joker
Existe uma variante criptografada do "Outlaw" original – o vírus "Outlaw.b".

"Outlaw.Black" contém duas macros com nomes aleatórios de 8 letras (por exemplo – DIJRCJCY, DOFYBPIT). Este vírus exibe a caixa de mensagem:


BlackKnight

"Outlaw" Goodbye "é criptografado, além de três macros de nome aleatório que contém duas macros" stealth "- ToolsMacro e ExtrasMakro. Ao selecionar o menu Ferramentas / Macro, o vírus mostra menus "fictícios" e exibe mensagens de erro da mesma forma que o vírus Magnum .

Em 10 de outubro, este vírus descarta e executa o vírus DOS "VLAD.Goodbye", cria um novo modelo e grava o texto lá:


Você está infectado com o vírus MooNRaiDer!
Saudações a todos os membros do Vlad!
Espero que não seja o fim!
A cena seria chata sem esse grupo muito bom!
Coringa do Pesadelo

Este vírus, em seguida, cria seção SystemProfile (arquivo Win.ini):


[Vlad]
Adeus = sim


Link para o original