Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

Ce virus de macro infecte deux applications Office97: documents Word et feuilles Excel. Pour être compatible avec différentes applications Office97, le virus utilise la compatibilité VisualBasic et utilise le même code dans Word et Excel.

Le virus infecte le système, les documents et les feuilles lors de l'ouverture des fichiers (auto-macros AutoOpen dans Word et Auto_Open dans Excel). Tout en infectant le virus utilise les fonctions d'exportation / importation Office97 via le fichier C: SHIVER.SYS. Il écrit (exporte) son code là-bas puis lit (importe) dans un objet qui est en train d'être infecté.

Sous Word et Excel, le virus se réplique en utilisant des astuces standard. Lors de l'infection de fichiers Word, le virus copie son code dans la zone document ou macros globales (NORMAL.DOT). Sous Excel, le virus accroche le processus d'activation des feuilles et définit les macros d'infection ShiverTime comme gestionnaire. Le virus enregistre également le fichier PERSONAL.XLS infecté dans le répertoire de démarrage d'Excel et infecte ainsi la zone Excel du système.

Une personne quittant Word (AutoExit) le virus tente de diffuser son code de Word à Excel. Le virus utilise les fonctions DDE: il exécute Excel dans des fenêtres réduites et transmet les données et les commandes nécessaires pour créer le fichier PERSONAL.XLS infecté dans le répertoire de démarrage d'Excel. Le virus infecte Word à partir d'Excel en utilisant de la même manière: il exécute Word réduit, ouvre Visual Basic Editor et lit son code à partir du fichier C: SHIVER.SYS.

Le virus ne supprime pas son fichier C: SHIVER.SYS après l'infection et l'utilise pour réinfecter Word si le code du virus principal a été supprimé (désinfecté) dans les documents et dans NORMAL.DOT. Pour ce faire le virus sur chaque démarrage de Word recherche le fichier WORD8.DOT dans le répertoire de démarrage de Word. Si ce fichier n'existe pas, le virus le crée et y écrit une macro FileSaveAs courte. Cette macro contient juste quelques commandes qui importent le code de virus à partir de C: SHIVER.SYS dans des documents qui sont enregistrés avec un nouveau nom. Par conséquent, le virus reste actif si tous les documents et NORMAL.DOT sont désinfectés. Le virus utilise la même méthode d'exportation / importation pour créer le compte-gouttes WORD8.DOT, en tant que tampon de code source, le fichier C: SENTRY.SYS est utilisé.

Pour détecter sa présence dans le système, le virus utilise le registre du système et écrit ses valeurs d'ID dans la clé "HKEY_CURRENT_USERSoftwareVB et VBA Program SettingsOffice8.0". Deux valeurs indiquent la présence ou l'absence de virus dans le système:



Shiver [DDE] = ALT-F11

Shiver [DDE] = NoNos (

En fonction du compteur aléatoire du système, le virus réinitialise cette clé à "NoNos (" et force ses routines d'infection à renouveler les fichiers infectés WORD8.DOT et PERSONAL.XLS dans les répertoires de démarrage Word et Excel.

Les virus internes

Le virus contient 18 macros dans un "Module1":



AutoExec – Word auto-function, contient la routine de ré-infection de Word

AutoOpen – Word auto-function, contient la routine d'infection Word Docs

WordStealth – ajoute les macros furtives ToolsMacro, FileTemplates, ViewVBCode

dans les macros globales de Word (NORMAL.DOT)

AutoExit – Word auto-function, infecte Excel

FindExcel – Excel recherche routine

PersonalFun – utilisé sur l'infection Excel

CheckMarker – "Êtes-vous ici?" fonction, vérifie le Registre

MakeMarker – écrit l'identification de virus dans le registre

PXL_Done – utilisé sur l'infection Excel

Auto_Open – Fonction automatique Excel, accroche la routine d'activation des feuilles

ShiverTime – activation de draperie et infecteur

wdTrigger – routine de déclenchement de Word

xlTrigger – routine de déclenchement Excel

Auto_Close – Auto-fonction Excel, propage le virus à Word

delay – utilisé sur l'infection de Word

wdReEvalInfection – recherche les PERSONAL.XLS infectés dans le répertoire de démarrage Excel

xlReEvalInfection – recherche WORD8.DOT infecté dans Word startup-dir

DDE_Info – macro de ne rien faire, contient le "copyright":

Shiver [DDE] par ALT-F11 avec l'aide de ALT-F4

Ceci est le premier virus produit par The Alternative Virus Mafia (AVM)

ALT-F4 – "Je suis né pour mourir"

ALT-F11 – "Actions sans pensées"

Trigger routines

Le virus a des capacités furtives. Sous Excel, il désactive les éléments de menu Fenêtre / Afficher … et Outils / Macro. Sous Word, il crée également les macros furtives dans le fichier NORMAL.DOT: ToolsMacro, FileTemplates, ViewVBCode dans le module "ThisDocument". En conséquence, le virus cache son code. Le virus désactive également la protection antivirus Office97.

En fonction du compteur aléatoire du système, le virus exécute les effets suivants:

dans Excel il insère dans la cellule sélectionnée au hasard les commentaires:
```
Shiver [DDE] par ALT-F11
```

dans Word, il crée le fichier C: SISTER.DLL, écrit le texte là-bas et exécute WRITE pour le montrer:



Hey Man, j'aime un peu comme votre soeur

Hey Man, j'espère que c'est cool

Hey Man, je perds un peu mon esprit

Chaque fois que je trouve votre soeur

Bronzé par la piscine

Hey Man, je veux la voir nue

Hey Man, je suis toujours dans sa chambre

Tout seul quand personne n'est là

En passant par ses sous-vêtements

Hey Man, je dois la voir bientôt

Hey Man, je ne l'aurai jamais tomber enceinte

Mais Hey Man, comment puis-je résister à elle

Le jour où je lui donne une bande de mariage

Allez-vous être mon meilleur homme?

Hey Man, j'aime un peu comme votre soeur

J'ai un peu comme ta soeur

J'ai un peu comme ta soeur

Je l'aime comme elle

dans Word, il renomme les éléments de menu:



Outils / Macro = "Shiver [DDE] par ALT-F11"

File / Versions … = "Feuilles tachées de sperme …"

Edit / Paste Special … = "Hé, je t'ai fait ta mère …"

Insert / Break … = "Tu veux faire du MDMA?"

Aide / A propos de Microsoft Word = "Paix, amour et drogues"

File / Properties = "Je vais mourir heureux, tu vas juste mourir"

Editer / Aller à … = "Heywood Jablowmi"

Outils / Nombre de mots … = "Nombre de corps"

Format / Police … = "Cunt"

Fichier / Fermer = "Pas de vêtements"

Fenêtre / Split = "Souffle moi"

Insert / Picture = "Croustillant Porno GIF"

File / Print … = "Mes balles qui démangent"

Format / Bullets and Numbering … = "Pilules et aiguilles"

Table / Insert Table … = "Insérer et Sonder"

Outils / Personnaliser … = "Sodomiser …"

Tools / Spelling and Grammar … = "Orthographe et votre grand-mère …"

Afficher / Barres d'outils = "Gaybars"

Voir / Document maître = "Masturbation"

Lien vers l'original

Classe	Virus
Plateforme	MSOffice
Description	Détails techniques Ce virus de macro infecte deux applications Office97: documents Word et feuilles Excel. Pour être compatible avec différentes applications Office97, le virus utilise la compatibilité VisualBasic et utilise le même code dans Word et Excel. Le virus infecte le système, les documents et les feuilles lors de l'ouverture des fichiers (auto-macros AutoOpen dans Word et Auto_Open dans Excel). Tout en infectant le virus utilise les fonctions d'exportation / importation Office97 via le fichier C: SHIVER.SYS. Il écrit (exporte) son code là-bas puis lit (importe) dans un objet qui est en train d'être infecté. Sous Word et Excel, le virus se réplique en utilisant des astuces standard. Lors de l'infection de fichiers Word, le virus copie son code dans la zone document ou macros globales (NORMAL.DOT). Sous Excel, le virus accroche le processus d'activation des feuilles et définit les macros d'infection ShiverTime comme gestionnaire. Le virus enregistre également le fichier PERSONAL.XLS infecté dans le répertoire de démarrage d'Excel et infecte ainsi la zone Excel du système. Une personne quittant Word (AutoExit) le virus tente de diffuser son code de Word à Excel. Le virus utilise les fonctions DDE: il exécute Excel dans des fenêtres réduites et transmet les données et les commandes nécessaires pour créer le fichier PERSONAL.XLS infecté dans le répertoire de démarrage d'Excel. Le virus infecte Word à partir d'Excel en utilisant de la même manière: il exécute Word réduit, ouvre Visual Basic Editor et lit son code à partir du fichier C: SHIVER.SYS. Le virus ne supprime pas son fichier C: SHIVER.SYS après l'infection et l'utilise pour réinfecter Word si le code du virus principal a été supprimé (désinfecté) dans les documents et dans NORMAL.DOT. Pour ce faire le virus sur chaque démarrage de Word recherche le fichier WORD8.DOT dans le répertoire de démarrage de Word. Si ce fichier n'existe pas, le virus le crée et y écrit une macro FileSaveAs courte. Cette macro contient juste quelques commandes qui importent le code de virus à partir de C: SHIVER.SYS dans des documents qui sont enregistrés avec un nouveau nom. Par conséquent, le virus reste actif si tous les documents et NORMAL.DOT sont désinfectés. Le virus utilise la même méthode d'exportation / importation pour créer le compte-gouttes WORD8.DOT, en tant que tampon de code source, le fichier C: SENTRY.SYS est utilisé. Pour détecter sa présence dans le système, le virus utilise le registre du système et écrit ses valeurs d'ID dans la clé "HKEY_CURRENT_USERSoftwareVB et VBA Program SettingsOffice8.0". Deux valeurs indiquent la présence ou l'absence de virus dans le système: Shiver [DDE] = ALT-F11 Shiver [DDE] = NoNos ( En fonction du compteur aléatoire du système, le virus réinitialise cette clé à "NoNos (" et force ses routines d'infection à renouveler les fichiers infectés WORD8.DOT et PERSONAL.XLS dans les répertoires de démarrage Word et Excel. Les virus internes Le virus contient 18 macros dans un "Module1": AutoExec – Word auto-function, contient la routine de ré-infection de Word AutoOpen – Word auto-function, contient la routine d'infection Word Docs WordStealth – ajoute les macros furtives ToolsMacro, FileTemplates, ViewVBCode dans les macros globales de Word (NORMAL.DOT) AutoExit – Word auto-function, infecte Excel FindExcel – Excel recherche routine PersonalFun – utilisé sur l'infection Excel CheckMarker – "Êtes-vous ici?" fonction, vérifie le Registre MakeMarker – écrit l'identification de virus dans le registre PXL_Done – utilisé sur l'infection Excel Auto_Open – Fonction automatique Excel, accroche la routine d'activation des feuilles ShiverTime – activation de draperie et infecteur wdTrigger – routine de déclenchement de Word xlTrigger – routine de déclenchement Excel Auto_Close – Auto-fonction Excel, propage le virus à Word delay – utilisé sur l'infection de Word wdReEvalInfection – recherche les PERSONAL.XLS infectés dans le répertoire de démarrage Excel xlReEvalInfection – recherche WORD8.DOT infecté dans Word startup-dir DDE_Info – macro de ne rien faire, contient le "copyright": Shiver [DDE] par ALT-F11 avec l'aide de ALT-F4 Ceci est le premier virus produit par The Alternative Virus Mafia (AVM) ALT-F4 – "Je suis né pour mourir" ALT-F11 – "Actions sans pensées" Trigger routines Le virus a des capacités furtives. Sous Excel, il désactive les éléments de menu Fenêtre / Afficher … et Outils / Macro. Sous Word, il crée également les macros furtives dans le fichier NORMAL.DOT: ToolsMacro, FileTemplates, ViewVBCode dans le module "ThisDocument". En conséquence, le virus cache son code. Le virus désactive également la protection antivirus Office97. En fonction du compteur aléatoire du système, le virus exécute les effets suivants: dans Excel il insère dans la cellule sélectionnée au hasard les commentaires: Shiver [DDE] par ALT-F11 dans Word, il crée le fichier C: SISTER.DLL, écrit le texte là-bas et exécute WRITE pour le montrer: Hey Man, j'aime un peu comme votre soeur Hey Man, j'espère que c'est cool Hey Man, je perds un peu mon esprit Chaque fois que je trouve votre soeur Bronzé par la piscine Hey Man, je veux la voir nue Hey Man, je suis toujours dans sa chambre Tout seul quand personne n'est là En passant par ses sous-vêtements Hey Man, je dois la voir bientôt Hey Man, je ne l'aurai jamais tomber enceinte Mais Hey Man, comment puis-je résister à elle Le jour où je lui donne une bande de mariage Allez-vous être mon meilleur homme? Hey Man, j'aime un peu comme votre soeur J'ai un peu comme ta soeur J'ai un peu comme ta soeur Je l'aime comme elle dans Word, il renomme les éléments de menu: Outils / Macro = "Shiver [DDE] par ALT-F11" File / Versions … = "Feuilles tachées de sperme …" Edit / Paste Special … = "Hé, je t'ai fait ta mère …" Insert / Break … = "Tu veux faire du MDMA?" Aide / A propos de Microsoft Word = "Paix, amour et drogues" File / Properties = "Je vais mourir heureux, tu vas juste mourir" Editer / Aller à … = "Heywood Jablowmi" Outils / Nombre de mots … = "Nombre de corps" Format / Police … = "Cunt" Fichier / Fermer = "Pas de vêtements" Fenêtre / Split = "Souffle moi" Insert / Picture = "Croustillant Porno GIF" File / Print … = "Mes balles qui démangent" Format / Bullets and Numbering … = "Pilules et aiguilles" Table / Insert Table … = "Insérer et Sonder" Outils / Personnaliser … = "Sodomiser …" Tools / Spelling and Grammar … = "Orthographe et votre grand-mère …" Afficher / Barres d'outils = "Gaybars" Voir / Document maître = "Masturbation"
	Lien vers l'original

Virus.MSOffice.Shiver

Détails techniques

Les virus internes

Trigger routines