Kaspersky Threats — Triplicate

Classe

Plateforme

Description

Détails techniques

Lorsque le virus est activé à partir d'un document Word infecté, il désactive tout d'abord la protection antivirus de Word, vérifie le modèle NORMAL.DOT, puis recherche la présence de virus. Si ce fichier n'est pas encore infecté, le virus considère que le système n'est pas infecté et commence à entrer dans les autres composants Office. Ces opérations contiennent trois étapes: Infection Word, Infection Excel et Infection PowerPoint.

1. L'infection de mot est l'opération la plus simple dans ce virus. Il copie juste son code du document courant au modèle normal (NORMAL.DOT).

2. L'infection Excel est plus complexe. Tout d'abord, le virus démarre une nouvelle instance Excel en utilisant la fonction CreateObject ("Excel.Application"). Le virus vérifie ensuite le fichier BOOK1 dans le dossier de démarrage Excel. Dans le cas où ce fichier n'est pas présent, le virus infecte l'Excel. Pendant ce temps, le virus désactive la protection antivirus Excel dans le registre système, crée un nouveau WorkBook, y copie son propre code et enregistre ce fichier avec le nom BOOK1 dans le dossier de démarrage Excel. Chaque feuille de calcul de ce dossier est automatiquement chargée au démarrage d'Excel, ce qui entraîne l'infection d'Excel lors du prochain redémarrage.

3. L'infection PowerPoint est tout à fait la même que dans Excel: le virus crée une nouvelle instance de PowerPoint, vérifie une présentation appelée "Blank Presentation.pot" dans le dossier de modèle PowerPoint, et essaie de localiser un module appelé "Triplicate" . Si ce module n'est pas présent, le virus infecte PowerPoint: il désactive la protection antivirale dans le registre du système, crée un nouveau module 'Triplicate' dans le 'Presentation.pot' et y copie son code viral. Après cela, le virus ajoute une nouvelle "forme" dans la présentation avec la largeur et la hauteur étant les mêmes que la largeur et la hauteur de la diapositive, et définit la procédure d'activation de cette forme sur "actionhook ()". l'utilisateur clique sur cette forme).

Enfin, le virus vérifie l'infection actuelle du document Word et l'infecte s'il n'a pas encore été infecté. Cette branche de la routine virale est exécutée uniquement dans le cas où le virus est chargé à partir d'un modèle infecté et qu'un nouveau document non infecté est fermé.

Infection via des feuilles de calcul et des présentations

Les procédures Excel et PowerPoint sont identiques, à l'exception de quelques détails mineurs.

Le fichier BOOK1 dans le dossier de démarrage Excel est utilisé par le virus en tant qu'identificateur de l'Office infecté. Ainsi, le virus recherche tout d'abord ce fichier et infecte les applications Office si ce fichier n'existe pas. Après cela, le virus tente d'infecter l'application Word.

1. Le virus obtient des objets 'Word.Application'. Ici, le virus utilise une autre fonction pour obtenir un objet. Au lieu de CreateObjects (), le virus utilise la fonction GetObject (). Cette fonction obtient des objets de l'instance d'application actuellement active. Le virus a besoin d'infecter NORMAL.DOT, qui n'est pas accessible en écriture s'il est déjà ouvert par une autre instance de Word. Si Word n'est pas actif pour le moment, le virus vient de créer un nouvel exemple Word.

Lorsque l'application Word est accessible, le virus commence sa routine d'étalement. Il supprime tout le code dans le modèle normal, crée la procédure 'DisableAV ()' et copie un bloc du code du virus, l'exécute et le supprime. Cette procédure courte (huit lignes seulement) désactive la protection antivirus Excel et PowerPoint. Ensuite, le virus copie son code d'un fichier infecté dans le modèle normal. L'infection Word est terminée.

2. À ce stade, les applications Excel et PowerPoint sont infectées. Le virus infecte le dossier de démarrage Excel à partir de la présentation PowerPoint ou insère son code dans le modèle PowerPoint exactement comme décrit ci-dessus lorsque le virus se propage à partir d'un document Word infecté.

La procédure d'activation PowerPoint a un petit détail supplémentaire: le virus active son code d'infection sur une base de un sur sept en fonction du compteur aléatoire du système.

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	Virus
Plateforme	MSOffice
Description	Détails techniques Lorsque le virus est activé à partir d'un document Word infecté, il désactive tout d'abord la protection antivirus de Word, vérifie le modèle NORMAL.DOT, puis recherche la présence de virus. Si ce fichier n'est pas encore infecté, le virus considère que le système n'est pas infecté et commence à entrer dans les autres composants Office. Ces opérations contiennent trois étapes: Infection Word, Infection Excel et Infection PowerPoint. 1. L'infection de mot est l'opération la plus simple dans ce virus. Il copie juste son code du document courant au modèle normal (NORMAL.DOT). 2. L'infection Excel est plus complexe. Tout d'abord, le virus démarre une nouvelle instance Excel en utilisant la fonction CreateObject ("Excel.Application"). Le virus vérifie ensuite le fichier BOOK1 dans le dossier de démarrage Excel. Dans le cas où ce fichier n'est pas présent, le virus infecte l'Excel. Pendant ce temps, le virus désactive la protection antivirus Excel dans le registre système, crée un nouveau WorkBook, y copie son propre code et enregistre ce fichier avec le nom BOOK1 dans le dossier de démarrage Excel. Chaque feuille de calcul de ce dossier est automatiquement chargée au démarrage d'Excel, ce qui entraîne l'infection d'Excel lors du prochain redémarrage. 3. L'infection PowerPoint est tout à fait la même que dans Excel: le virus crée une nouvelle instance de PowerPoint, vérifie une présentation appelée "Blank Presentation.pot" dans le dossier de modèle PowerPoint, et essaie de localiser un module appelé "Triplicate" . Si ce module n'est pas présent, le virus infecte PowerPoint: il désactive la protection antivirale dans le registre du système, crée un nouveau module 'Triplicate' dans le 'Presentation.pot' et y copie son code viral. Après cela, le virus ajoute une nouvelle "forme" dans la présentation avec la largeur et la hauteur étant les mêmes que la largeur et la hauteur de la diapositive, et définit la procédure d'activation de cette forme sur "actionhook ()". l'utilisateur clique sur cette forme). Enfin, le virus vérifie l'infection actuelle du document Word et l'infecte s'il n'a pas encore été infecté. Cette branche de la routine virale est exécutée uniquement dans le cas où le virus est chargé à partir d'un modèle infecté et qu'un nouveau document non infecté est fermé. Infection via des feuilles de calcul et des présentations Les procédures Excel et PowerPoint sont identiques, à l'exception de quelques détails mineurs. Le fichier BOOK1 dans le dossier de démarrage Excel est utilisé par le virus en tant qu'identificateur de l'Office infecté. Ainsi, le virus recherche tout d'abord ce fichier et infecte les applications Office si ce fichier n'existe pas. Après cela, le virus tente d'infecter l'application Word. 1. Le virus obtient des objets 'Word.Application'. Ici, le virus utilise une autre fonction pour obtenir un objet. Au lieu de CreateObjects (), le virus utilise la fonction GetObject (). Cette fonction obtient des objets de l'instance d'application actuellement active. Le virus a besoin d'infecter NORMAL.DOT, qui n'est pas accessible en écriture s'il est déjà ouvert par une autre instance de Word. Si Word n'est pas actif pour le moment, le virus vient de créer un nouvel exemple Word. Lorsque l'application Word est accessible, le virus commence sa routine d'étalement. Il supprime tout le code dans le modèle normal, crée la procédure 'DisableAV ()' et copie un bloc du code du virus, l'exécute et le supprime. Cette procédure courte (huit lignes seulement) désactive la protection antivirus Excel et PowerPoint. Ensuite, le virus copie son code d'un fichier infecté dans le modèle normal. L'infection Word est terminée. 2. À ce stade, les applications Excel et PowerPoint sont infectées. Le virus infecte le dossier de démarrage Excel à partir de la présentation PowerPoint ou insère son code dans le modèle PowerPoint exactement comme décrit ci-dessus lorsque le virus se propage à partir d'un document Word infecté. La procédure d'activation PowerPoint a un petit détail supplémentaire: le virus active son code d'infection sur une base de un sur sept en fonction du compteur aléatoire du système.
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

Virus.MSOffice.Triplicate

Détails techniques

Infection via des feuilles de calcul et des présentations