DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.MSOffice.Teocatl

Kategorie Virus
Plattform MSOffice
Beschreibung

Technische Details

Dieser Makro-Virus infiziert Office97-Word-Dokumente und Excel-Tabellen. Es wurde nach seinem internen Standort benannt: "Teonanacatl". Es ist der zweite bekannte Makrovirus (nach "Access / Word97.Cross"), der mehrere MS Office-Anwendungen infizieren kann.

Der Code des Virus befindet sich in einem Modul namens StrangeDays und enthält acht Funktionen:

AutoClose – Word Auto-Funktion, enthält Infektionsroutine

AutoOpen – Word-Auto-Funktion, deaktiviert Visual Basic-Code-Editor (Stealth)

AutoExit – Word Auto-Funktion, ruft AutoClose auf, um das Dokument zu infizieren

ToolsMacro – deaktiviert die Anzeige von Makros (Stealth)

ToolsOptions – Deaktiviert die Anzeige von Makros (Stealth)

FileTemplates – Deaktiviert die Makroanzeige (Stealth)

ViewVBCode – deaktiviert die Anzeige von Makros (Stealth)

Auto_Open – Excel-Auto-Funktion, Haken Blatt Aktivierung Routine

Der Virus verbreitet seinen Code unter der "nativen" Anwendung (Word-> Word, Excel-> Excel) und legt infizierte Dateien in eine andere Anwendung (Word-> Excel und Excel-> Word). In infizierten Word-Dokumenten und Excel-Tabellen hat der Virus den gleichen Basic-Code. Es ist so genau geschrieben, dass es unter Office 97 ohne Fehler sowohl in Word als auch in Excel ausgeführt werden kann.

Um "native" Objekte (Dokumente oder Blätter) zu infizieren, verwendet der Virus Import / Export VisualBasic-Funktionen: Der Virus exportiert seinen Basic-Code in die C: LO.SYS-Datei und importiert sie dann in nicht infizierte Dokumente (unter Word) und Blätter (Excel). Im Falle von Word, um andere Dokumente zu infizieren, fängt der Virus die Auto-Funktionen AutoClose und AutoExit ab und infiziert Dokumente, die geschlossen sind oder Word verlassen. Im Falle von Excel hakt der Virus die Blattaktivierungsroutine ein, die Auto-Funktion Auto_Open tut dies, wenn ein infiziertes Blatt geöffnet wird.

Um eine andere Anwendung zu infizieren, verwendet der Virus einen Trick mit der Fähigkeit zum automatischen Laden von Word und Excel, um Vorlagen (Word) und Blätter (Excel) aus dem Startverzeichnis zu laden. Um Word aus Excel zu infizieren, erstellt der Virus neue Dateien NORMAL.DOT (Word) und PERSONAL.XLS (Excel) in dem Startverzeichnis.

Sowohl diese NORMAL.DOT als auch PERSONAL.XLS enthalten nur eine kleine 17-Zeilen-Routine, die nicht der Virus selbst ist, sondern der Virusloader. Dieser Loader hat einen automatischen Namen (Auto_Close in Excel und AutoExec in Word) und wird vom System beim Start von Word mit einem infizierten NORMAL.DOT oder Excel mit einer infizierten PERSONAL.XLS ausgeführt. In beiden Fällen liest (liest) der Loader den vollständigen Virus-Code aus der C: LO.SYS-Datei in das aktuelle Objekt (NORMAL-Template oder PERSONAL.XLS) und infiziert sie dadurch. Der Lader speichert dann das infizierte Ergebnis in der ursprünglichen Datei (NORMAL.DOT oder PERSONAL.XLS) und wird beendet. Beim nächsten Laden laden sowohl Word als auch Excel die Dateien NORMAL.DOT und PERSONAL.XLS mit dem vollständigen Virencode, und der Virus wird weiter verbreitet.

Der Virus verfügt über Stealth- und Anti-Warning-Fähigkeiten: Er deaktiviert die Menüoptionen Tools / Makro, Tools / Optionen, Datei / Vorlagen und Ansicht / VBCode sowie VisualBasicEditor und VirusProtection. Es ändert auch die VirusProtection-Anweisungen in der Systemregistrierung.

Am 26. eines jeden Monats zeigt es eine MessageBox an und löscht alle Dateien im aktuellen Verzeichnis, und der Text in der MessageBox lautet wie folgt:

Seltsame Tage von Reptile / 29A

Seltsame Tage haben uns gefunden

Seltsame Tage haben uns aufgespürt

Sie werden zerstören …


Link zum Original