Kaspersky Threats

Kategorie

Plattform

Beschreibung

Technische Details

Dieser Virus enthält zwei Makros in einem Modul, "ThisDocument", und die Makros haben unterschiedliche Namen in Dokumenten und NORMAL.DOT:

Dokumente NORMAL.DOT

AutoOpen AutoClose – Infektions- und Triggerroutinen

ViewVBCode ToolsMacro – Stealth, deaktiviert das Anzeigen von Makrocode

Der Virus infiziert den globalen Makrobereich beim Öffnen eines infizierten Dokuments. Beim Infizieren exportiert der Virus den Viruscode in die Datei C: CLASS.SYS und fügt sie in NORMAL.DOT ein. Dokumente werden auf die gleiche Weise infiziert.

Die Routine zur Virusmutation (polymorph) fügt Kommentare in den Virencode ein, die einen Benutzernamen, das aktuelle Datum und die Uhrzeit sowie Informationen über den aktiven Drucker enthalten.

Der Virus verwendet eine effektive Möglichkeit, seinen Code zu verbergen. Durch die Verwendung spezieller WordBasic-Operatoren installiert der Virus sein Modul nicht in den Standardbereich von Makroprogrammen, sondern in den Bereich der Word-Klassen – den Bereich der Standardroutinen, die Word-Ereignisse verarbeiten, dh den Word-Kernel. Der Virus hängt seinen Code an Dokumente und Vorlagen an, nicht als Benutzeranwendung (Makroprogramm), sondern als "native" Word-Komponente. Daher ist der Virus in Tools / Macro und File / Templates nicht sichtbar (aus welchem Grund hängt der Virus dann ToolsMacro?)

Der Virus deaktiviert die Auto-Protection. Am 31. zeigt der Virus die MessageBox an:

Das ist Klasse

? -? -? -? -? -? -? -? -? – – – – – – – – – – – – – -?

? VicodinES / CB / TNN?

? -? -? -? -? -? -? -? -? – – – – – – – – – – – – – -?

Klasse.d

Jeden Monat von Juni bis Dezember am Tag 14 zeigt der Virus die folgende Meldung an:

Klasse.Poppy

Ich denke Ist ein großer dummer Idiot!

Der Virus ändert auch Werte in den Registrierungsschlüsseln:


HKLMSoftwareMicrosoftWindowsCurrentVersionRegisteredOwner = "VicodinES / CB / TNN"
RegisteredOrganization = "- (Dr. Diet Mountain Dew) -"

Klasse.bs

Bei einer Infektion ändert dieser Virus die Systemregistrierung, indem er "Clazz" als registrierten Besitzer dieser Windows-Kopie schreibt. Beim Versuch, es anzuzeigen, codiert der Virus es mit einer Wahrscheinlichkeit von 25% und setzt das "Clazz" -Kennwort für das aktive Dokument oder löscht mit der gleichen Wahrscheinlichkeit alle Dateien im aktuellen Ordner.

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Virus
Plattform	MSWord
Beschreibung	Technische Details Dieser Virus enthält zwei Makros in einem Modul, "ThisDocument", und die Makros haben unterschiedliche Namen in Dokumenten und NORMAL.DOT: Dokumente NORMAL.DOT AutoOpen AutoClose – Infektions- und Triggerroutinen ViewVBCode ToolsMacro – Stealth, deaktiviert das Anzeigen von Makrocode Der Virus infiziert den globalen Makrobereich beim Öffnen eines infizierten Dokuments. Beim Infizieren exportiert der Virus den Viruscode in die Datei C: CLASS.SYS und fügt sie in NORMAL.DOT ein. Dokumente werden auf die gleiche Weise infiziert. Die Routine zur Virusmutation (polymorph) fügt Kommentare in den Virencode ein, die einen Benutzernamen, das aktuelle Datum und die Uhrzeit sowie Informationen über den aktiven Drucker enthalten. Der Virus verwendet eine effektive Möglichkeit, seinen Code zu verbergen. Durch die Verwendung spezieller WordBasic-Operatoren installiert der Virus sein Modul nicht in den Standardbereich von Makroprogrammen, sondern in den Bereich der Word-Klassen – den Bereich der Standardroutinen, die Word-Ereignisse verarbeiten, dh den Word-Kernel. Der Virus hängt seinen Code an Dokumente und Vorlagen an, nicht als Benutzeranwendung (Makroprogramm), sondern als "native" Word-Komponente. Daher ist der Virus in Tools / Macro und File / Templates nicht sichtbar (aus welchem Grund hängt der Virus dann ToolsMacro?) Der Virus deaktiviert die Auto-Protection. Am 31. zeigt der Virus die MessageBox an: Das ist Klasse ? -? -? -? -? -? -? -? -? – – – – – – – – – – – – – -? ? VicodinES / CB / TNN? ? -? -? -? -? -? -? -? -? – – – – – – – – – – – – – -? Klasse.d Jeden Monat von Juni bis Dezember am Tag 14 zeigt der Virus die folgende Meldung an: Klasse.Poppy Ich denke Ist ein großer dummer Idiot! Der Virus ändert auch Werte in den Registrierungsschlüsseln: HKLMSoftwareMicrosoftWindowsCurrentVersionRegisteredOwner = "VicodinES / CB / TNN" RegisteredOrganization = "- (Dr. Diet Mountain Dew) -" Klasse.bs Bei einer Infektion ändert dieser Virus die Systemregistrierung, indem er "Clazz" als registrierten Besitzer dieser Windows-Kopie schreibt. Beim Versuch, es anzuzeigen, codiert der Virus es mit einer Wahrscheinlichkeit von 25% und setzt das "Clazz" -Kennwort für das aktive Dokument oder löscht mit der gleichen Wahrscheinlichkeit alle Dateien im aktuellen Ordner.
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Virus.MSWord.Class

Technische Details

Klasse.d

Klasse.bs