CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.MSOffice.Triplicate

Classe Virus
Plateforme MSOffice
Description

Détails techniques

Lorsque le virus est activé à partir d'un document Word infecté, il désactive tout d'abord la protection antivirus de Word, vérifie le modèle NORMAL.DOT, puis recherche la présence de virus. Si ce fichier n'est pas encore infecté, le virus considère que le système n'est pas infecté et commence à entrer dans les autres composants Office. Ces opérations contiennent trois étapes: Infection Word, Infection Excel et Infection PowerPoint.

1. L'infection de mot est l'opération la plus simple dans ce virus. Il copie juste son code du document courant au modèle normal (NORMAL.DOT).

2. L'infection Excel est plus complexe. Tout d'abord, le virus démarre une nouvelle instance Excel en utilisant la fonction CreateObject ("Excel.Application"). Le virus vérifie ensuite le fichier BOOK1 dans le dossier de démarrage Excel. Dans le cas où ce fichier n'est pas présent, le virus infecte l'Excel. Pendant ce temps, le virus désactive la protection antivirus Excel dans le registre système, crée un nouveau WorkBook, y copie son propre code et enregistre ce fichier avec le nom BOOK1 dans le dossier de démarrage Excel. Chaque feuille de calcul de ce dossier est automatiquement chargée au démarrage d'Excel, ce qui entraîne l'infection d'Excel lors du prochain redémarrage.

3. L'infection PowerPoint est tout à fait la même que dans Excel: le virus crée une nouvelle instance de PowerPoint, vérifie une présentation appelée "Blank Presentation.pot" dans le dossier de modèle PowerPoint, et essaie de localiser un module appelé "Triplicate" . Si ce module n'est pas présent, le virus infecte PowerPoint: il désactive la protection antivirale dans le registre du système, crée un nouveau module 'Triplicate' dans le 'Presentation.pot' et y copie son code viral. Après cela, le virus ajoute une nouvelle "forme" dans la présentation avec la largeur et la hauteur étant les mêmes que la largeur et la hauteur de la diapositive, et définit la procédure d'activation de cette forme sur "actionhook ()". l'utilisateur clique sur cette forme).

Enfin, le virus vérifie l'infection actuelle du document Word et l'infecte s'il n'a pas encore été infecté. Cette branche de la routine virale est exécutée uniquement dans le cas où le virus est chargé à partir d'un modèle infecté et qu'un nouveau document non infecté est fermé.

Infection via des feuilles de calcul et des présentations

Les procédures Excel et PowerPoint sont identiques, à l'exception de quelques détails mineurs.

Le fichier BOOK1 dans le dossier de démarrage Excel est utilisé par le virus en tant qu'identificateur de l'Office infecté. Ainsi, le virus recherche tout d'abord ce fichier et infecte les applications Office si ce fichier n'existe pas. Après cela, le virus tente d'infecter l'application Word.

1. Le virus obtient des objets 'Word.Application'. Ici, le virus utilise une autre fonction pour obtenir un objet. Au lieu de CreateObjects (), le virus utilise la fonction GetObject (). Cette fonction obtient des objets de l'instance d'application actuellement active. Le virus a besoin d'infecter NORMAL.DOT, qui n'est pas accessible en écriture s'il est déjà ouvert par une autre instance de Word. Si Word n'est pas actif pour le moment, le virus vient de créer un nouvel exemple Word.

Lorsque l'application Word est accessible, le virus commence sa routine d'étalement. Il supprime tout le code dans le modèle normal, crée la procédure 'DisableAV ()' et copie un bloc du code du virus, l'exécute et le supprime. Cette procédure courte (huit lignes seulement) désactive la protection antivirus Excel et PowerPoint. Ensuite, le virus copie son code d'un fichier infecté dans le modèle normal. L'infection Word est terminée.

2. À ce stade, les applications Excel et PowerPoint sont infectées. Le virus infecte le dossier de démarrage Excel à partir de la présentation PowerPoint ou insère son code dans le modèle PowerPoint exactement comme décrit ci-dessus lorsque le virus se propage à partir d'un document Word infecté.

La procédure d'activation PowerPoint a un petit détail supplémentaire: le virus active son code d'infection sur une base de un sur sept en fonction du compteur aléatoire du système.


Lien vers l'original