Kaspersky Threats — Metamorph

Kategorie

Plattform

Beschreibung

Technische Details

Es ist ein Stealth-Makrovirus. Es enthält fünf Funktionen in Dokumenten in dem einen Modul "Metamorph": AutoOpen, FileTemplatesTemp, ToolsMacroTemp, ViewVBCodeTemp, AutoExecTemp. Im NORMAL.DOT enthält der Virus sechs Funktionen in einem zufällig benannten Modul: FileSaveAs, AutoOpenTemp, FileTemplates, ToolsMacro, ViewVBCode, AutoExec. Der Name dieses Moduls wird in der Datei METAMORPH.INI in Abschnitt [Infiziert] in Zeile Antwort gespeichert.

Der Virus infiziert den globalen Makrobereich beim Öffnen eines infizierten Dokuments. Andere Dokumente erhalten eine Infektion beim Speichern mit neuem Namen (FileSaveAs). Der Code des Virus unterscheidet sich in Dokumenten und NORMAL.DOT – der Virus modifiziert ihn, während er sich selbst in das System kopiert. Es erstellt neue Infektionsfunktion FileSaveAs und Stealth-Funktionen ToolsMacro und ViewVBCode. Beim Infizieren von Dokumenten importiert der Virus seinen ursprünglichen Code aus dem C: METAPH.LOG, der erzeugt wird, wenn der Virus das System infiziert.

Wenn Word startet, ändert der Virus die Namen der Menüpunkte "Datei", "Bearbeiten", "Ansicht", "Format" mit ihren französischen Varianten. Je nach Systemdatum und -uhrzeit zeigt der Virus die MessageBoxen an:



Virus Metamorph

Achtung, j'ai contaminé votre ordinateur …

Virus metamorph

Il est

L'heure de metamorph

Virus Metamorph

Auf Wiedersehen…

Virus Metamorph

Poufffff !!!!!!

Beim Anzeigen der letzten MessageBoxes löscht der Virus die Dateien:



C: WindowsSystem *. *

C: Windows-Befehl *. *

C: Windows * .Com

C: Dos *. *

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Virus
Plattform	MSWord
Beschreibung	Technische Details Es ist ein Stealth-Makrovirus. Es enthält fünf Funktionen in Dokumenten in dem einen Modul "Metamorph": AutoOpen, FileTemplatesTemp, ToolsMacroTemp, ViewVBCodeTemp, AutoExecTemp. Im NORMAL.DOT enthält der Virus sechs Funktionen in einem zufällig benannten Modul: FileSaveAs, AutoOpenTemp, FileTemplates, ToolsMacro, ViewVBCode, AutoExec. Der Name dieses Moduls wird in der Datei METAMORPH.INI in Abschnitt [Infiziert] in Zeile Antwort gespeichert. Der Virus infiziert den globalen Makrobereich beim Öffnen eines infizierten Dokuments. Andere Dokumente erhalten eine Infektion beim Speichern mit neuem Namen (FileSaveAs). Der Code des Virus unterscheidet sich in Dokumenten und NORMAL.DOT – der Virus modifiziert ihn, während er sich selbst in das System kopiert. Es erstellt neue Infektionsfunktion FileSaveAs und Stealth-Funktionen ToolsMacro und ViewVBCode. Beim Infizieren von Dokumenten importiert der Virus seinen ursprünglichen Code aus dem C: METAPH.LOG, der erzeugt wird, wenn der Virus das System infiziert. Wenn Word startet, ändert der Virus die Namen der Menüpunkte "Datei", "Bearbeiten", "Ansicht", "Format" mit ihren französischen Varianten. Je nach Systemdatum und -uhrzeit zeigt der Virus die MessageBoxen an: Virus Metamorph Achtung, j'ai contaminé votre ordinateur … Virus metamorph Il est L'heure de metamorph Virus Metamorph Auf Wiedersehen… Virus Metamorph Poufffff !!!!!! Beim Anzeigen der letzten MessageBoxes löscht der Virus die Dateien: C: WindowsSystem . C: Windows-Befehl . C: Windows * .Com C: Dos .
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Virus.MSWord.Metamorph

Technische Details