CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.
Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Classe | Virus |
Plateforme | MSOffice |
Description |
Détails techniquesCe virus de macro infecte deux applications Office97: documents Word et feuilles Excel. Pour être compatible avec différentes applications Office97, le virus utilise la compatibilité VisualBasic et utilise le même code dans Word et Excel. Le virus infecte le système, les documents et les feuilles lors de l'ouverture des fichiers (auto-macros AutoOpen dans Word et Auto_Open dans Excel). Tout en infectant le virus utilise les fonctions d'exportation / importation Office97 via le fichier C: SHIVER.SYS. Il écrit (exporte) son code là-bas puis lit (importe) dans un objet qui est en train d'être infecté. Sous Word et Excel, le virus se réplique en utilisant des astuces standard. Lors de l'infection de fichiers Word, le virus copie son code dans la zone document ou macros globales (NORMAL.DOT). Sous Excel, le virus accroche le processus d'activation des feuilles et définit les macros d'infection ShiverTime comme gestionnaire. Le virus enregistre également le fichier PERSONAL.XLS infecté dans le répertoire de démarrage d'Excel et infecte ainsi la zone Excel du système. Une personne quittant Word (AutoExit) le virus tente de diffuser son code de Word à Excel. Le virus utilise les fonctions DDE: il exécute Excel dans des fenêtres réduites et transmet les données et les commandes nécessaires pour créer le fichier PERSONAL.XLS infecté dans le répertoire de démarrage d'Excel. Le virus infecte Word à partir d'Excel en utilisant de la même manière: il exécute Word réduit, ouvre Visual Basic Editor et lit son code à partir du fichier C: SHIVER.SYS. Le virus ne supprime pas son fichier C: SHIVER.SYS après l'infection et l'utilise pour réinfecter Word si le code du virus principal a été supprimé (désinfecté) dans les documents et dans NORMAL.DOT. Pour ce faire le virus sur chaque démarrage de Word recherche le fichier WORD8.DOT dans le répertoire de démarrage de Word. Si ce fichier n'existe pas, le virus le crée et y écrit une macro FileSaveAs courte. Cette macro contient juste quelques commandes qui importent le code de virus à partir de C: SHIVER.SYS dans des documents qui sont enregistrés avec un nouveau nom. Par conséquent, le virus reste actif si tous les documents et NORMAL.DOT sont désinfectés. Le virus utilise la même méthode d'exportation / importation pour créer le compte-gouttes WORD8.DOT, en tant que tampon de code source, le fichier C: SENTRY.SYS est utilisé. Pour détecter sa présence dans le système, le virus utilise le registre du système et écrit ses valeurs d'ID dans la clé "HKEY_CURRENT_USERSoftwareVB et VBA Program SettingsOffice8.0". Deux valeurs indiquent la présence ou l'absence de virus dans le système: En fonction du compteur aléatoire du système, le virus réinitialise cette clé à "NoNos (" et force ses routines d'infection à renouveler les fichiers infectés WORD8.DOT et PERSONAL.XLS dans les répertoires de démarrage Word et Excel. Les virus internesLe virus contient 18 macros dans un "Module1":
Trigger routinesLe virus a des capacités furtives. Sous Excel, il désactive les éléments de menu Fenêtre / Afficher … et Outils / Macro. Sous Word, il crée également les macros furtives dans le fichier NORMAL.DOT: ToolsMacro, FileTemplates, ViewVBCode dans le module "ThisDocument". En conséquence, le virus cache son code. Le virus désactive également la protection antivirus Office97.En fonction du compteur aléatoire du système, le virus exécute les effets suivants:
|
Lien vers l'original |
|