Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o stealth makrovir. Obsahuje osmdesát procedur v jednom modulu "xSebelas": xSebelasInit, AntiMakro, DisplayPath4, McOpen, ShowForm, FileOpen, AutoOpen, ViewVBCode, AutoExec, AutoExit, ToolsMacro, FileTemplates, FormatStyle, ReFresh, AutoClose, FileExit, ToolsOptions a HelpAbout.

Virus infikuje oblast globálních maker při otevření infikovaného dokumentu (AutoOpen) a při otevírání a zavírání infikuje jiné dokumenty (AutoOpen a AutoClose). Po ukončení aplikace MS Word virus také vytvoří dva infikované dokumenty v počátečním adresáři MS Word: tyto dokumenty mají názvy BIOS.VXD a WINSSPI.DOT.

Virus vypne ochranu aplikace Word proti viru (volba VirusProtection), skryje nabídku Nástroje / Makro (stealth) a blokuje otevření editoru jazyka.

Po otevření jakéhokoli dokumentu virus kontroluje datum systému a zobrazí následující zprávy:

4. února:



eX-Sebelas vydání 3.9

'Met ulang tahun Natalie Imbruglia!

1. listopadu:



eX-Sebelas vydání 3.9

'Pokračujte na téma Erry Delphiero!

7. října:



eX-Sebelas vydání 3.9

'Met lang tahun DaNnY DeSPiRo!

11. dne každého měsíce počínaje 11. dubnem 1999 se virus v barvě bílé barvy písma pro celý text v dokumentu (skryje text – bílá na bílém) a poté vloží do konce dokumentu text (v černé barvě):



Viva eX-SeBeLaS!

Od 11. dubna 1999 se virus každých 30 minut zobrazí dialogové okno s obrázkem. Stejné dialogové okno se zobrazí při vstupu do nabídky Help / About.

Také počínaje 11. dubnem 1999, po ukončení aplikace MS Word, virus přejmenuje soubor AUTOEXEC.BAT na XSEBELAS.BAT a vytvoří nový soubor AUTOEXEC.BAT, který volá původní program (uložený v XSEBELAS.BAT) a poté zobrazí text :



+ ————————————————- ——————- +

| eX-SeBeLaS vydání 3.9

| [speciální věnovaná Natalie 'Jane' Imbruglia]

| ————————————————- ——————- |

| DaNnY DeSPiRo:

| Salam saya buat anak-anak SMAN 11 Bandung, Analisis Kimia – UNPAD, |

| Delapan Makhluk Roztomilý (DMC), QLas (KIR SMUN 11 Bandung), "truz buat |

| Jihan Fahira (kapan kamu mampir ke rumah lagi e-mail saya dong), |

| teman-teman saya di alam fana ini dans spesial buat cewek lucu jang |

| mirip Natalie Imbruglia … [despiro@hotmail.com] |

| ————————————————- ——————- |

| ErRy DeLPhIeRo:

| ZAČÁTKOVÝ AKAK-ANAK AMIK-SUKAPURA TSM, AMIK-BaNDuNg, DJEPROETH '95, 'en |

| BaRuDaK TeAtEr NuAnSa, BuAt GadSam '95: DoNt FoRgEt Me … E-MaiL |

| GuE YaCh … Buat ANaK-aNAk 'ACC', Buat GaDiS-GaDIs YaNG CaRe 'en |

| MaU KeNAlaN AMa ErRy di TuNGgU LHo e-MaiLnyA, 'en SPECiaL SmILe To |

| LuTju GiRl NaTaLiE ImBrUgLiA! [delphiero@hotmail.com] |

| ————————————————- ——————- |

| … omlouvám se za zaslání viru (možná více než jednoho), jsme jen – |

| chceme sami sebe dokázat, že programování virů je velmi zábavné … |

+ ————————————————- ——————- +

Odkaz na originál

Třída	Virus
Platfoma	MSWord
Popis	Technické údaje Jedná se o stealth makrovir. Obsahuje osmdesát procedur v jednom modulu "xSebelas": xSebelasInit, AntiMakro, DisplayPath4, McOpen, ShowForm, FileOpen, AutoOpen, ViewVBCode, AutoExec, AutoExit, ToolsMacro, FileTemplates, FormatStyle, ReFresh, AutoClose, FileExit, ToolsOptions a HelpAbout. Virus infikuje oblast globálních maker při otevření infikovaného dokumentu (AutoOpen) a při otevírání a zavírání infikuje jiné dokumenty (AutoOpen a AutoClose). Po ukončení aplikace MS Word virus také vytvoří dva infikované dokumenty v počátečním adresáři MS Word: tyto dokumenty mají názvy BIOS.VXD a WINSSPI.DOT. Virus vypne ochranu aplikace Word proti viru (volba VirusProtection), skryje nabídku Nástroje / Makro (stealth) a blokuje otevření editoru jazyka. Po otevření jakéhokoli dokumentu virus kontroluje datum systému a zobrazí následující zprávy: 4. února: eX-Sebelas vydání 3.9 'Met ulang tahun Natalie Imbruglia! 1. listopadu: eX-Sebelas vydání 3.9 'Pokračujte na téma Erry Delphiero! 7. října: eX-Sebelas vydání 3.9 'Met lang tahun DaNnY DeSPiRo! 11. dne každého měsíce počínaje 11. dubnem 1999 se virus v barvě bílé barvy písma pro celý text v dokumentu (skryje text – bílá na bílém) a poté vloží do konce dokumentu text (v černé barvě): Viva eX-SeBeLaS! Od 11. dubna 1999 se virus každých 30 minut zobrazí dialogové okno s obrázkem. Stejné dialogové okno se zobrazí při vstupu do nabídky Help / About. Také počínaje 11. dubnem 1999, po ukončení aplikace MS Word, virus přejmenuje soubor AUTOEXEC.BAT na XSEBELAS.BAT a vytvoří nový soubor AUTOEXEC.BAT, který volá původní program (uložený v XSEBELAS.BAT) a poté zobrazí text : + ————————————————- ——————- + \| eX-SeBeLaS vydání 3.9 \| [speciální věnovaná Natalie 'Jane' Imbruglia] \| ————————————————- ——————- \| \| DaNnY DeSPiRo: \| Salam saya buat anak-anak SMAN 11 Bandung, Analisis Kimia – UNPAD, \| \| Delapan Makhluk Roztomilý (DMC), QLas (KIR SMUN 11 Bandung), "truz buat \| \| Jihan Fahira (kapan kamu mampir ke rumah lagi e-mail saya dong), \| \| teman-teman saya di alam fana ini dans spesial buat cewek lucu jang \| \| mirip Natalie Imbruglia … [despiro@hotmail.com] \| \| ————————————————- ——————- \| \| ErRy DeLPhIeRo: \| ZAČÁTKOVÝ AKAK-ANAK AMIK-SUKAPURA TSM, AMIK-BaNDuNg, DJEPROETH '95, 'en \| \| BaRuDaK TeAtEr NuAnSa, BuAt GadSam '95: DoNt FoRgEt Me … E-MaiL \| \| GuE YaCh … Buat ANaK-aNAk 'ACC', Buat GaDiS-GaDIs YaNG CaRe 'en \| \| MaU KeNAlaN AMa ErRy di TuNGgU LHo e-MaiLnyA, 'en SPECiaL SmILe To \| \| LuTju GiRl NaTaLiE ImBrUgLiA! [delphiero@hotmail.com] \| \| ————————————————- ——————- \| \| … omlouvám se za zaslání viru (možná více než jednoho), jsme jen – \| \| chceme sami sebe dokázat, že programování virů je velmi zábavné … \| + ————————————————- ——————- +
	Odkaz na originál

Virus.MSWord.Sebelas

Technické údaje