Kaspersky Threats

Kategorie

Plattform

Beschreibung

Technische Details

Dies ist ein nicht-polymorpher Word-Virus. Der Virus befindet sich im RedTerrorist-Modul.

Es hat sieben Subroutinen:

 Automatisch öffnen 
Automatisch schließen 
FuckThemAll 
WerkzeugeMakro 
Werkzeuge anpassen 
AnsichtVBCode 
Verzögern

Der Virus wird repliziert, wenn ein Dokument geöffnet oder geschlossen wird.

AutoOpen, AutoClose:

Diese Prozeduren rufen nur die Hauptinfektionsroutine des Virus auf, die sich in der FuckThemAll-Routine befindet.

Verzögern:

Dieses Makro bewirkt, dass das System pausiert, bevor ein Nachrichtenfenster angezeigt wird.

 Für i = 0 bis 19170000
Nächster

FuckThemAll:

Hauptvirus-Routine. Prüft den Systemparameter 'Land' und wenn dieser 'US' ist, dann führt er die Befehlsshell aus:

 "c: command.com C echo y del" + Environ ("windir") + "system *. *> nul"

Danach setzt der Virus folgende Parameter:

 .SaveNormalPrompt = Falsch 
.VirusProtection = Falsch 
.AllowFastSave = Wahr 
.BackgroundSave = Wahr

Der Virus prüft, ob das Modul 'RedTerrorist' im aktiven Dokument (oder normal.dot) vorhanden ist. Wiederholte Infektion wird nicht auftreten. Wenn das Modul nicht gefunden wird, erstellt der Virus eine Exportdatei 'user.vxd' in% windir %% temp% catalog und infiziert das Dokument. Danach entfernt der Virus die Exportdatei 'user.vxd'

ToolsCustomize, ToolsMacro, ViewVBCode:

Diese drei Routinen werden für Stealth verwendet; Wenn sie ausgeführt werden, rufen sie die Routine Delay auf und zeigen Message Boxes an:

ExtrasMakro:

 Top-Level-Prozess abgebrochen, kann nicht fortgesetzt werden

Werkzeuge anpassen

 Konfiguration zu groß für Speicher

AnsichtVBCode

 Fehler in EXE-Datei, Programm zu groß, um in den Speicher zu passen

Link zum Original

Kategorie	Virus
Plattform	MSWord
Beschreibung	Technische Details Dies ist ein nicht-polymorpher Word-Virus. Der Virus befindet sich im RedTerrorist-Modul. Es hat sieben Subroutinen: Automatisch öffnen Automatisch schließen FuckThemAll WerkzeugeMakro Werkzeuge anpassen AnsichtVBCode Verzögern Der Virus wird repliziert, wenn ein Dokument geöffnet oder geschlossen wird. AutoOpen, AutoClose: Diese Prozeduren rufen nur die Hauptinfektionsroutine des Virus auf, die sich in der FuckThemAll-Routine befindet. Verzögern: Dieses Makro bewirkt, dass das System pausiert, bevor ein Nachrichtenfenster angezeigt wird. Für i = 0 bis 19170000 Nächster FuckThemAll: Hauptvirus-Routine. Prüft den Systemparameter 'Land' und wenn dieser 'US' ist, dann führt er die Befehlsshell aus: "c: command.com C echo y del" + Environ ("windir") + "system . > nul" Danach setzt der Virus folgende Parameter: .SaveNormalPrompt = Falsch .VirusProtection = Falsch .AllowFastSave = Wahr .BackgroundSave = Wahr Der Virus prüft, ob das Modul 'RedTerrorist' im aktiven Dokument (oder normal.dot) vorhanden ist. Wiederholte Infektion wird nicht auftreten. Wenn das Modul nicht gefunden wird, erstellt der Virus eine Exportdatei 'user.vxd' in% windir %% temp% catalog und infiziert das Dokument. Danach entfernt der Virus die Exportdatei 'user.vxd' ToolsCustomize, ToolsMacro, ViewVBCode: Diese drei Routinen werden für Stealth verwendet; Wenn sie ausgeführt werden, rufen sie die Routine Delay auf und zeigen Message Boxes an: ExtrasMakro: Top-Level-Prozess abgebrochen, kann nicht fortgesetzt werden Werkzeuge anpassen Konfiguration zu groß für Speicher AnsichtVBCode Fehler in EXE-Datei, Programm zu groß, um in den Speicher zu passen
	Link zum Original

Virus.MSWord.Redter

Technische Details

AutoOpen, AutoClose:

Verzögern:

FuckThemAll:

ToolsCustomize, ToolsMacro, ViewVBCode: