Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o první známý makrovírus infikující dokumenty Visio, šablony a šablony (Visio je systém pro vytváření, úpravu a ukládání obchodních výkresů a diagramů – viz http://www.visio.com). Automatizace zpracování dat Visio používá makro-programy napsané v jazyce VBA (Visual Basic for Applications) – to samé, které se používá v aplikacích MS Office. V důsledku toho jsou viry v aplikaci Visio velmi podobné virům MS Office a mohou infikovat soubory aplikace Visio velmi podobnými způsoby.

Samotný virus je spíše jednoduchý. Obsahuje jeden postup, který je přiřazen události "BeforeDocumentClose" (aktivuje se při zavření dokumentu). Když virusový postup získá kontrolu, vyčíslí a infikuje všechny otevřené dokumenty. Vzhledem k vnitřní struktuře aplikace Visio virus při vyhledávání dokumentů obsahuje výčet nejen dokumentů, ale i šablon a šablon.

Šablony aplikace Visio jsou podobné šablonám aplikace Word. Tyto soubory obsahují data knihovny pro běžné použití při vytváření a úpravách dokumentů aplikace Visio. Tyto šablony jsou automaticky otevřeny a zpracovány aplikací Visio v případě potřeby (pokud je používá dokument). V případě, že jsou tyto šablony nakaženy, virus je načten, když dokument přistupuje k infikované šabloně a je aktivován při zavření této šablony. V tomto okamžiku virus infikuje všechny otevřené soubory aplikace Visio. V důsledku toho, pokud jsou infikovány šablony aplikace Visio, každý dokument, který je vytvořen nebo upraven, bude při zavření infikován.

Z důvodu této funkce Visio se virus může velmi rychle šířit prostřednictvím souborů aplikace Visio.

Virus má postup užitného zatížení: po každém spuštění vytvoří soubor INDEX.HTML v kořenovém adresáři jednotky C: Tento soubor obsahuje následující zprávu:

       Mnoho sluncí
      Orbit v prázdném prostoru
   Mluví se svým světlem
       na všechno, co je tmavé.
    Pro mě mlčí.

  Pozdravuje se všem komunitám VX
        A zářivé anděly

           to je......

            Zářivý

Na samém konci makro-kódu viru je krátká řada symbolů (komentář). Zdá se, že v tomto řádku jsou šifrované informace o autorovi virů, ale typ šifry a klíč používaný pro šifrování textového řetězce nejsou známy.

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Virus
Platfoma	MSVisio
Popis	Technické údaje Jedná se o první známý makrovírus infikující dokumenty Visio, šablony a šablony (Visio je systém pro vytváření, úpravu a ukládání obchodních výkresů a diagramů – viz http://www.visio.com). Automatizace zpracování dat Visio používá makro-programy napsané v jazyce VBA (Visual Basic for Applications) – to samé, které se používá v aplikacích MS Office. V důsledku toho jsou viry v aplikaci Visio velmi podobné virům MS Office a mohou infikovat soubory aplikace Visio velmi podobnými způsoby. Samotný virus je spíše jednoduchý. Obsahuje jeden postup, který je přiřazen události "BeforeDocumentClose" (aktivuje se při zavření dokumentu). Když virusový postup získá kontrolu, vyčíslí a infikuje všechny otevřené dokumenty. Vzhledem k vnitřní struktuře aplikace Visio virus při vyhledávání dokumentů obsahuje výčet nejen dokumentů, ale i šablon a šablon. Šablony aplikace Visio jsou podobné šablonám aplikace Word. Tyto soubory obsahují data knihovny pro běžné použití při vytváření a úpravách dokumentů aplikace Visio. Tyto šablony jsou automaticky otevřeny a zpracovány aplikací Visio v případě potřeby (pokud je používá dokument). V případě, že jsou tyto šablony nakaženy, virus je načten, když dokument přistupuje k infikované šabloně a je aktivován při zavření této šablony. V tomto okamžiku virus infikuje všechny otevřené soubory aplikace Visio. V důsledku toho, pokud jsou infikovány šablony aplikace Visio, každý dokument, který je vytvořen nebo upraven, bude při zavření infikován. Z důvodu této funkce Visio se virus může velmi rychle šířit prostřednictvím souborů aplikace Visio. Virus má postup užitného zatížení: po každém spuštění vytvoří soubor INDEX.HTML v kořenovém adresáři jednotky C: Tento soubor obsahuje následující zprávu: Mnoho sluncí Orbit v prázdném prostoru Mluví se svým světlem na všechno, co je tmavé. Pro mě mlčí. Pozdravuje se všem komunitám VX A zářivé anděly to je...... Zářivý Na samém konci makro-kódu viru je krátká řada symbolů (komentář). Zdá se, že v tomto řádku jsou šifrované informace o autorovi virů, ale typ šifry a klíč používaný pro šifrování textového řetězce nejsou známy.
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Virus.MSVisio.Radiant

Technické údaje