DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.
Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.
Kategorie | Virus |
Plattform | MSOffice |
Beschreibung |
Technische DetailsDieser Makrovirus infiziert zwei Office97-Anwendungen: Word-Dokumente und Excel-Tabellen. Um mit verschiedenen Office97-Anwendungen kompatibel zu sein, verwendet der Virus VisualBasic-Kompatibilität und verwendet den gleichen Code in Word und Excel. Der Virus infiziert das System, Dokumente und Blätter beim Öffnen von Dateien (Auto-Makros AutoOpen in Word und Auto_Open in Excel). Beim Infizieren des Virus werden Office97-Funktionen über die Datei C: SHIVER.SYS exportiert / importiert. Es schreibt (exportiert) seinen Code dorthin und liest (importiert) dann in ein Objekt, das infiziert wird. Sowohl unter Word als auch unter Excel repliziert sich der Virus mit Standardtricks. Beim Infizieren von Word-Dateien kopiert der Virus seinen Code in den Dokument- oder globalen Makrobereich (NORMAL.DOT). Unter Excel haken die Blätter den Aktivierungsprozess und setzen die Infektionsmakros ShiverTime als Handler. Der Virus speichert auch die infizierte PERSONAL.XLS-Datei im Excel-Startverzeichnis und infiziert dadurch den System-Excel-Bereich. Beim Verlassen von Word (AutoExit) versucht der Virus seinen Code von Word nach Excel zu verteilen. Der Virus verwendet die DDE-Funktionen: Er führt Excel in minimierten Fenstern aus und gibt dort Daten und Befehle weiter, die zum Erstellen der infizierten PERSONAL.XLS-Datei im Excel-Startverzeichnis erforderlich sind. Der Virus infiziert Word von Excel auf ähnliche Weise: Er führt minimiertes Word aus, öffnet Visual Basic Editor und liest seinen Code aus der Datei C: SHIVER.SYS. Der Virus löscht seine C: SHIVER.SYS-Datei nach der Infektion nicht und verwendet sie, um Word erneut zu infizieren, wenn der Hauptviruscode in Dokumenten und NORMAL.DOT gelöscht (desinfiziert) wurde. Dazu sucht der Virus bei jedem Start von Word im Word-Startverzeichnis nach der WORD8.DOT-Datei. Wenn es keine solche Datei gibt, erstellt der Virus sie und schreibt einen kurzen FileSaveAs-Makro dorthin. Dieses Makro enthält nur einige Befehle, die den Viruscode aus der Datei C: SHIVER.SYS in Dokumente importieren, die unter einem neuen Namen gespeichert werden. Dadurch bleibt der Virus immer aktiv, wenn alle Dokumente und NORMAL.DOT desinfiziert sind. Der Virus verwendet den gleichen Export / Import-Weg, um den WORD8.DOT-Dropper zu erstellen, da ein Quellcode-Puffer der C: SENTRY.SYS-Datei verwendet wird. Um seine Präsenz im System zu erkennen, verwendet der Virus die System Registry und schreibt seine ID-Werte in den Schlüssel "HKEY_CURRENT_USERSoftwareVB und VBA Program SettingsOffice8.0". Es gibt zwei Werte, die das Vorhandensein / Fehlen von Viren im System kennzeichnen: Abhängig vom System-Zufallszähler setzt der Virus diesen Schlüssel auf "NoNos (" zurück und erzwingt seine Infektionsroutinen, um infizierte WORD8.DOT und PERSONAL.XLS in den Word- und Excel-Startverzeichnissen zu erneuern. Die Virus InternaDer Virus enthält 18 Makros in einem "Module1":
TriggerroutinenDer Virus verfügt über Stealth-Fähigkeiten. Unter Excel werden die Menüpunkte Fenster / Einblenden … und Werkzeuge / Makro deaktiviert. Unter Word erstellt es auch die Stealth-Makros im NORMAL.DOT: ToolsMacro, FileTemplates, ViewVBCode im Modul "ThisDocument". Als Folge versteckt der Virus seinen Code. Der Virus deaktiviert außerdem den Office97-Virenschutz.Abhängig vom zufälligen Systemzähler führt der Virus folgende Effekte aus:
|
Link zum Original |
|
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen |