DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.MSWord.Class

Kategorie Virus
Plattform MSWord
Beschreibung

Technische Details

Dieser Virus enthält zwei Makros in einem Modul, "ThisDocument", und die Makros haben unterschiedliche Namen in Dokumenten und NORMAL.DOT:

Dokumente NORMAL.DOT

AutoOpen AutoClose – Infektions- und Triggerroutinen

ViewVBCode ToolsMacro – Stealth, deaktiviert das Anzeigen von Makrocode

Der Virus infiziert den globalen Makrobereich beim Öffnen eines infizierten Dokuments. Beim Infizieren exportiert der Virus den Viruscode in die Datei C: CLASS.SYS und fügt sie in NORMAL.DOT ein. Dokumente werden auf die gleiche Weise infiziert.

Die Routine zur Virusmutation (polymorph) fügt Kommentare in den Virencode ein, die einen Benutzernamen, das aktuelle Datum und die Uhrzeit sowie Informationen über den aktiven Drucker enthalten.

Der Virus verwendet eine effektive Möglichkeit, seinen Code zu verbergen. Durch die Verwendung spezieller WordBasic-Operatoren installiert der Virus sein Modul nicht in den Standardbereich von Makroprogrammen, sondern in den Bereich der Word-Klassen – den Bereich der Standardroutinen, die Word-Ereignisse verarbeiten, dh den Word-Kernel. Der Virus hängt seinen Code an Dokumente und Vorlagen an, nicht als Benutzeranwendung (Makroprogramm), sondern als "native" Word-Komponente. Daher ist der Virus in Tools / Macro und File / Templates nicht sichtbar (aus welchem ​​Grund hängt der Virus dann ToolsMacro?)

Der Virus deaktiviert die Auto-Protection. Am 31. zeigt der Virus die MessageBox an:

Das ist Klasse

? -? -? -? -? -? -? -? -? – – – – – – – – – – – – – -?

? VicodinES / CB / TNN?

? -? -? -? -? -? -? -? -? – – – – – – – – – – – – – -?

Klasse.d

Jeden Monat von Juni bis Dezember am Tag 14 zeigt der Virus die folgende Meldung an:

Klasse.Poppy

Ich denke Ist ein großer dummer Idiot!

Der Virus ändert auch Werte in den Registrierungsschlüsseln:

HKLMSoftwareMicrosoftWindowsCurrentVersionRegisteredOwner = "VicodinES / CB / TNN"

RegisteredOrganization = "- (Dr. Diet Mountain Dew) -"

Klasse.bs

Bei einer Infektion ändert dieser Virus die Systemregistrierung, indem er "Clazz" als registrierten Besitzer dieser Windows-Kopie schreibt. Beim Versuch, es anzuzeigen, codiert der Virus es mit einer Wahrscheinlichkeit von 25% und setzt das "Clazz" -Kennwort für das aktive Dokument oder löscht mit der gleichen Wahrscheinlichkeit alle Dateien im aktuellen Ordner.


Link zum Original