Kaspersky Threats

Kategorie

Plattform

Beschreibung

Technische Details

Dieser Virus repliziert sich auf die gleiche Weise wie andere Excel-Viren. Es hakt Systemereignisse (window activating – OnWindows) und kopiert seinen Code in jedes Blatt, das aktiviert ist. Beim ersten Start (beim ersten Öffnen eines infizierten Blattes) installiert sich der Virus selbst im System: Er registriert seine Host-Datei als Add-In mit dem Namen XLSHEET.XLA im aktuellen Verzeichnis oder im Verzeichnis C: WINDOWS. Bei einer solchen Anfrage erstellt Excel automatisch eine neue Kopie des infizierten Dokuments (mit dem Namen XLSHEET.XLA) und lädt und aktiviert bei jedem nächsten Excel-Start dieses Add-In, dh den Viruscode. Daher ist der Virus nach dem Erstellen des infizierten Add-Ins immer aktiv, wenn Excel ausgeführt wird, und infiziert alle Dateien, die geöffnet oder erstellt wurden.

Der Virus ist französischer Herkunft (siehe Routinenamen unten), kann jedoch unter jeder lokalen Excel-Version infiziert und repliziert werden, beginnend mit 4.

Der Virus hat fünf Routinen: auto_ouvrir, activation_feuille, protect, !!! GO, auto_fermer. Alle von ihnen (außer !!! GO) nennen Infektion Routine. Abhängig vom System-Zufallszähler (mit Wahrscheinlichkeit 2%) aktiviert der Virus das Trigger-Unterprogramm (das sind Stellen in !!! GO-Routine). Die Triggerroutine blendet alle geöffneten Tabellen und Excel-Elemente (Schaltflächen, Menüs, Statusleiste) aus und ersetzt den "Microsoft Excel" -Text am oberen Rand des Excel-Fensters durch den Text: "Enfin la paix …"

Es ist nicht möglich, den Virus mithilfe von Standardmethoden zu erkennen und zu desinfizieren (indem Sie Extras / Makro eingeben und nach Makros suchen), da der Virus das VeryHidden-Attribut für seine Makros festlegt. Ein solches Attribut kann nicht mithilfe von Excel-Menüs deaktiviert werden. Virencode finden und ansehen, der notwendig ist, um eine spezielle Routine in Excel Basic (Makro-Routine) zu schreiben.

Folglich hat ein Benutzer keine Werkzeuge, um diesen Virus auf seinem Computer zu erkennen, und alle bekannten Antivirenprogramme können ihn jetzt nicht erkennen. Das Virus kann nur durch seine Spuren gefunden werden:



– Im Menü Extras / Add-Ins gibt es eine Referenz für die XLSHEET-Datei

– infizierte Dateien enthalten die Textstrings:

Enfin la paix …

!!!GEHEN

Ein Teilschutz kann erreicht werden, indem im C: WINDOWS-Verzeichnis die schreibgeschützte Dummy-Datei mit dem Namen XLSHEET.XLA erstellt wird. Danach kann der Virus sein Add-In nicht mehr im Verzeichnis C: WINDOWS installieren. Wenn dieses Add-In in anderen Verzeichnissen erstellt wird, sollten Sie in diesen Verzeichnissen auch dieselbe Dummy-Datei XLSHEET.XLA erstellen.

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Virus
Plattform	MSExcel
Beschreibung	Technische Details Dieser Virus repliziert sich auf die gleiche Weise wie andere Excel-Viren. Es hakt Systemereignisse (window activating – OnWindows) und kopiert seinen Code in jedes Blatt, das aktiviert ist. Beim ersten Start (beim ersten Öffnen eines infizierten Blattes) installiert sich der Virus selbst im System: Er registriert seine Host-Datei als Add-In mit dem Namen XLSHEET.XLA im aktuellen Verzeichnis oder im Verzeichnis C: WINDOWS. Bei einer solchen Anfrage erstellt Excel automatisch eine neue Kopie des infizierten Dokuments (mit dem Namen XLSHEET.XLA) und lädt und aktiviert bei jedem nächsten Excel-Start dieses Add-In, dh den Viruscode. Daher ist der Virus nach dem Erstellen des infizierten Add-Ins immer aktiv, wenn Excel ausgeführt wird, und infiziert alle Dateien, die geöffnet oder erstellt wurden. Der Virus ist französischer Herkunft (siehe Routinenamen unten), kann jedoch unter jeder lokalen Excel-Version infiziert und repliziert werden, beginnend mit 4. Der Virus hat fünf Routinen: auto_ouvrir, activation_feuille, protect, !!! GO, auto_fermer. Alle von ihnen (außer !!! GO) nennen Infektion Routine. Abhängig vom System-Zufallszähler (mit Wahrscheinlichkeit 2%) aktiviert der Virus das Trigger-Unterprogramm (das sind Stellen in !!! GO-Routine). Die Triggerroutine blendet alle geöffneten Tabellen und Excel-Elemente (Schaltflächen, Menüs, Statusleiste) aus und ersetzt den "Microsoft Excel" -Text am oberen Rand des Excel-Fensters durch den Text: "Enfin la paix …" Es ist nicht möglich, den Virus mithilfe von Standardmethoden zu erkennen und zu desinfizieren (indem Sie Extras / Makro eingeben und nach Makros suchen), da der Virus das VeryHidden-Attribut für seine Makros festlegt. Ein solches Attribut kann nicht mithilfe von Excel-Menüs deaktiviert werden. Virencode finden und ansehen, der notwendig ist, um eine spezielle Routine in Excel Basic (Makro-Routine) zu schreiben. Folglich hat ein Benutzer keine Werkzeuge, um diesen Virus auf seinem Computer zu erkennen, und alle bekannten Antivirenprogramme können ihn jetzt nicht erkennen. Das Virus kann nur durch seine Spuren gefunden werden: – Im Menü Extras / Add-Ins gibt es eine Referenz für die XLSHEET-Datei – infizierte Dateien enthalten die Textstrings: Enfin la paix … !!!GEHEN Ein Teilschutz kann erreicht werden, indem im C: WINDOWS-Verzeichnis die schreibgeschützte Dummy-Datei mit dem Namen XLSHEET.XLA erstellt wird. Danach kann der Virus sein Add-In nicht mehr im Verzeichnis C: WINDOWS installieren. Wenn dieses Add-In in anderen Verzeichnissen erstellt wird, sollten Sie in diesen Verzeichnissen auch dieselbe Dummy-Datei XLSHEET.XLA erstellen.
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Virus.MSExcel.Paix

Technische Details