CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.MSOffice.Shiver

Classe Virus
Plateforme MSOffice
Description

Détails techniques

Ce virus de macro infecte deux applications Office97: documents Word et feuilles Excel. Pour être compatible avec différentes applications Office97, le virus utilise la compatibilité VisualBasic et utilise le même code dans Word et Excel.

Le virus infecte le système, les documents et les feuilles lors de l'ouverture des fichiers (auto-macros AutoOpen dans Word et Auto_Open dans Excel). Tout en infectant le virus utilise les fonctions d'exportation / importation Office97 via le fichier C: SHIVER.SYS. Il écrit (exporte) son code là-bas puis lit (importe) dans un objet qui est en train d'être infecté.

Sous Word et Excel, le virus se réplique en utilisant des astuces standard. Lors de l'infection de fichiers Word, le virus copie son code dans la zone document ou macros globales (NORMAL.DOT). Sous Excel, le virus accroche le processus d'activation des feuilles et définit les macros d'infection ShiverTime comme gestionnaire. Le virus enregistre également le fichier PERSONAL.XLS infecté dans le répertoire de démarrage d'Excel et infecte ainsi la zone Excel du système.

Une personne quittant Word (AutoExit) le virus tente de diffuser son code de Word à Excel. Le virus utilise les fonctions DDE: il exécute Excel dans des fenêtres réduites et transmet les données et les commandes nécessaires pour créer le fichier PERSONAL.XLS infecté dans le répertoire de démarrage d'Excel. Le virus infecte Word à partir d'Excel en utilisant de la même manière: il exécute Word réduit, ouvre Visual Basic Editor et lit son code à partir du fichier C: SHIVER.SYS.

Le virus ne supprime pas son fichier C: SHIVER.SYS après l'infection et l'utilise pour réinfecter Word si le code du virus principal a été supprimé (désinfecté) dans les documents et dans NORMAL.DOT. Pour ce faire le virus sur chaque démarrage de Word recherche le fichier WORD8.DOT dans le répertoire de démarrage de Word. Si ce fichier n'existe pas, le virus le crée et y écrit une macro FileSaveAs courte. Cette macro contient juste quelques commandes qui importent le code de virus à partir de C: SHIVER.SYS dans des documents qui sont enregistrés avec un nouveau nom. Par conséquent, le virus reste actif si tous les documents et NORMAL.DOT sont désinfectés. Le virus utilise la même méthode d'exportation / importation pour créer le compte-gouttes WORD8.DOT, en tant que tampon de code source, le fichier C: SENTRY.SYS est utilisé.

Pour détecter sa présence dans le système, le virus utilise le registre du système et écrit ses valeurs d'ID dans la clé "HKEY_CURRENT_USERSoftwareVB et VBA Program SettingsOffice8.0". Deux valeurs indiquent la présence ou l'absence de virus dans le système:


Shiver [DDE] = ALT-F11
Shiver [DDE] = NoNos (
En fonction du compteur aléatoire du système, le virus réinitialise cette clé à "NoNos (" et force ses routines d'infection à renouveler les fichiers infectés WORD8.DOT et PERSONAL.XLS dans les répertoires de démarrage Word et Excel.

Les virus internes

Le virus contient 18 macros dans un "Module1":

AutoExec – Word auto-function, contient la routine de ré-infection de Word
AutoOpen – Word auto-function, contient la routine d'infection Word Docs
WordStealth – ajoute les macros furtives ToolsMacro, FileTemplates, ViewVBCode
dans les macros globales de Word (NORMAL.DOT)
AutoExit – Word auto-function, infecte Excel
FindExcel – Excel recherche routine
PersonalFun – utilisé sur l'infection Excel
CheckMarker – "Êtes-vous ici?" fonction, vérifie le Registre
MakeMarker – écrit l'identification de virus dans le registre
PXL_Done – utilisé sur l'infection Excel
Auto_Open – Fonction automatique Excel, accroche la routine d'activation des feuilles
ShiverTime – activation de draperie et infecteur
wdTrigger – routine de déclenchement de Word
xlTrigger – routine de déclenchement Excel
Auto_Close – Auto-fonction Excel, propage le virus à Word
delay – utilisé sur l'infection de Word
wdReEvalInfection – recherche les PERSONAL.XLS infectés dans le répertoire de démarrage Excel
xlReEvalInfection – recherche WORD8.DOT infecté dans Word startup-dir
DDE_Info – macro de ne rien faire, contient le "copyright":
Shiver [DDE] par ALT-F11 avec l'aide de ALT-F4
Ceci est le premier virus produit par The Alternative Virus Mafia (AVM)
ALT-F4 – "Je suis né pour mourir"
ALT-F11 – "Actions sans pensées"

Trigger routines

Le virus a des capacités furtives. Sous Excel, il désactive les éléments de menu Fenêtre / Afficher … et Outils / Macro. Sous Word, il crée également les macros furtives dans le fichier NORMAL.DOT: ToolsMacro, FileTemplates, ViewVBCode dans le module "ThisDocument". En conséquence, le virus cache son code. Le virus désactive également la protection antivirus Office97.

En fonction du compteur aléatoire du système, le virus exécute les effets suivants:

  • dans Excel il insère dans la cellule sélectionnée au hasard les commentaires:

    Shiver [DDE] par ALT-F11
  • dans Word, il crée le fichier C: SISTER.DLL, écrit le texte là-bas et exécute WRITE pour le montrer:

    Hey Man, j'aime un peu comme votre soeur
    Hey Man, j'espère que c'est cool
    Hey Man, je perds un peu mon esprit
    Chaque fois que je trouve votre soeur
    Bronzé par la piscine
    Hey Man, je veux la voir nue
    Hey Man, je suis toujours dans sa chambre
    Tout seul quand personne n'est là
    En passant par ses sous-vêtements
    Hey Man, je dois la voir bientôt
    Hey Man, je ne l'aurai jamais tomber enceinte
    Mais Hey Man, comment puis-je résister à elle
    Le jour où je lui donne une bande de mariage
    Allez-vous être mon meilleur homme?
    Hey Man, j'aime un peu comme votre soeur
    J'ai un peu comme ta soeur
    J'ai un peu comme ta soeur
    Je l'aime comme elle
  • dans Word, il renomme les éléments de menu:

    Outils / Macro = "Shiver [DDE] par ALT-F11"
    File / Versions … = "Feuilles tachées de sperme …"
    Edit / Paste Special … = "Hé, je t'ai fait ta mère …"
    Insert / Break … = "Tu veux faire du MDMA?"
    Aide / A propos de Microsoft Word = "Paix, amour et drogues"
    File / Properties = "Je vais mourir heureux, tu vas juste mourir"
    Editer / Aller à … = "Heywood Jablowmi"
    Outils / Nombre de mots … = "Nombre de corps"
    Format / Police … = "Cunt"
    Fichier / Fermer = "Pas de vêtements"
    Fenêtre / Split = "Souffle moi"
    Insert / Picture = "Croustillant Porno GIF"
    File / Print … = "Mes balles qui démangent"
    Format / Bullets and Numbering … = "Pilules et aiguilles"
    Table / Insert Table … = "Insérer et Sonder"
    Outils / Personnaliser … = "Sodomiser …"
    Tools / Spelling and Grammar … = "Orthographe et votre grand-mère …"
    Afficher / Barres d'outils = "Gaybars"
    Voir / Document maître = "Masturbation"


Lien vers l'original