DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.MSExcel.Paix

Kategorie Virus
Plattform MSExcel
Beschreibung

Technische Details

Dieser Virus repliziert sich auf die gleiche Weise wie andere Excel-Viren. Es hakt Systemereignisse (window activating – OnWindows) und kopiert seinen Code in jedes Blatt, das aktiviert ist. Beim ersten Start (beim ersten Öffnen eines infizierten Blattes) installiert sich der Virus selbst im System: Er registriert seine Host-Datei als Add-In mit dem Namen XLSHEET.XLA im aktuellen Verzeichnis oder im Verzeichnis C: WINDOWS. Bei einer solchen Anfrage erstellt Excel automatisch eine neue Kopie des infizierten Dokuments (mit dem Namen XLSHEET.XLA) und lädt und aktiviert bei jedem nächsten Excel-Start dieses Add-In, dh den Viruscode. Daher ist der Virus nach dem Erstellen des infizierten Add-Ins immer aktiv, wenn Excel ausgeführt wird, und infiziert alle Dateien, die geöffnet oder erstellt wurden.

Der Virus ist französischer Herkunft (siehe Routinenamen unten), kann jedoch unter jeder lokalen Excel-Version infiziert und repliziert werden, beginnend mit 4.

Der Virus hat fünf Routinen: auto_ouvrir, activation_feuille, protect, !!! GO, auto_fermer. Alle von ihnen (außer !!! GO) nennen Infektion Routine. Abhängig vom System-Zufallszähler (mit Wahrscheinlichkeit 2%) aktiviert der Virus das Trigger-Unterprogramm (das sind Stellen in !!! GO-Routine). Die Triggerroutine blendet alle geöffneten Tabellen und Excel-Elemente (Schaltflächen, Menüs, Statusleiste) aus und ersetzt den "Microsoft Excel" -Text am oberen Rand des Excel-Fensters durch den Text: "Enfin la paix …"

Es ist nicht möglich, den Virus mithilfe von Standardmethoden zu erkennen und zu desinfizieren (indem Sie Extras / Makro eingeben und nach Makros suchen), da der Virus das VeryHidden-Attribut für seine Makros festlegt. Ein solches Attribut kann nicht mithilfe von Excel-Menüs deaktiviert werden. Virencode finden und ansehen, der notwendig ist, um eine spezielle Routine in Excel Basic (Makro-Routine) zu schreiben.

Folglich hat ein Benutzer keine Werkzeuge, um diesen Virus auf seinem Computer zu erkennen, und alle bekannten Antivirenprogramme können ihn jetzt nicht erkennen. Das Virus kann nur durch seine Spuren gefunden werden:


– Im Menü Extras / Add-Ins gibt es eine Referenz für die XLSHEET-Datei
– infizierte Dateien enthalten die Textstrings:
Enfin la paix …
!!!GEHEN

Ein Teilschutz kann erreicht werden, indem im C: WINDOWS-Verzeichnis die schreibgeschützte Dummy-Datei mit dem Namen XLSHEET.XLA erstellt wird. Danach kann der Virus sein Add-In nicht mehr im Verzeichnis C: WINDOWS installieren. Wenn dieses Add-In in anderen Verzeichnissen erstellt wird, sollten Sie in diesen Verzeichnissen auch dieselbe Dummy-Datei XLSHEET.XLA erstellen.


Link zum Original