DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.MSWord.Prism

Kategorie Virus
Plattform MSWord
Beschreibung

Technische Details

Dies ist ein verschlüsselter Word-Makro-Virus. Es enthält neun Makros: PRiZM, AutoExec, AutoOpen, FileOpen, FileSave, FilePrint, FileSaveAs, ToolsMacro und FileTemplates.

Es basiert auf dem Virus "Word.Cap" , hat eine ähnliche Struktur und Anweisungen festgelegt. Es repliziert beim Öffnen, Schließen und Speichern von Dokumenten.

Beim Drucken hängt der Virus am Ende des gedruckten Dokuments eine Zeichenfolge an:


Kampf des Lebens. Hauptstadt!!!

Das Virus hat eine ungewöhnliche Infektionsmethode. Während der Infektion führt der Virus mehrere Schritte aus, verwendet die Systemregistrierung und löscht eine zusätzliche EXE-Datei. Die Infektionsroutine wird in den Viruscode als eine Reihe von Textzeichenfolgen platziert, die DDE-Anweisungen (Dynamic Data Exchange) sind. Bei Bedarf führt der Virus sie aus, und diese Anweisungen kopieren den Virencode, um die Dokumente und Vorlagen zu targetieren.

Um seine DDE-Anweisungen auszuführen, speichert der Virus sie in der Systemregistrierung unter "HKEY_CLASSES_ROOT ### fileshellopenddeexec". Der Virus registriert dann eine neue Erweiterung "###" und setzt DDEEXEC als Handler für Dateien mit einer solchen Erweiterung.

Der Virus erstellt dann eine zufällig benannte EXE-Datei im temporären Windows-Verzeichnis und schreibt ein kurzes Programm hinein. Dieses Programm erstellt und öffnet nur die Datei "PRiZM. ###". Diese Dateinamenerweiterung ist mit DDEEXEC verknüpft, und als Folge aktiviert Windows den Virus, DDE-Anweisungen, führt sie aus und kopiert den Virencode in eine Opferdatei.


Link zum Original