CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.MSWord.Class

Classe Virus
Plateforme MSWord
Description

Détails techniques

Ce virus contient deux macros dans un module, "ThisDocument", et les macros ont des noms différents dans les documents et NORMAL.DOT:

Documents NORMAL.DOT

AutoOpen AutoClose – infection et routines de déclenchement

ViewVBCode ToolsMacro – furtif, désactive l'affichage du code de macro

Le virus infecte la zone des macros globales lors de l'ouverture d'un document infecté. Lors de l'infection, le virus exporte le code du virus vers C: CLASS.SYS et l'insère dans le fichier NORMAL.DOT. Les documents sont infectés de la même manière.

La routine de mutation virale (polymorphe) insère des commentaires dans le code du virus, contenant un nom d'utilisateur, la date et l'heure actuelles et des informations sur l'imprimante active.

Le virus utilise un moyen efficace pour cacher son code. En utilisant des opérateurs WordBasic spéciaux, le virus installe son module, pas dans la zone standard des programmes macro, mais dans la zone des classes Word – la zone des routines standard qui gèrent les événements Word, c'est-à-dire, le noyau Word. Le virus ajoute son code aux documents et aux modèles, non en tant qu'application utilisateur (programme macro), mais en tant que composant Word "natif". En conséquence, le virus n'est pas visible dans Outils / Macro et Fichier / Modèles (pour quelle raison le virus puis crochet ToolsMacro?)

Le virus désactive la protection automatique. Le 31, le virus affiche le MessageBox:

C'est la classe

? -? -? -? -? -? -? -? -? -? – ß – ß – ß – ß – ß – ß – ß – ß – ß – ß – ß -?

? VicodinES / CB / TNN?

? -? -? -? -? -? -? -? -? -? – ß – ß – ß – ß – ß – ß – ß – ß – ß – ß – ß -?

Class.d

Chaque mois, de juin à décembre, le jour 14, le virus affiche le message suivant:

Class.Poppy

je pense est un gros con stupide!

Le virus modifie également les valeurs dans les clés de registre:

HKLMSoftwareMicrosoftWindowsCurrentVersionRegisteredOwner = "VicodinES / CB / TNN"

RegisteredOrganization = "- (Dr. Diet Mountain Dew) -"

Class.bs

Lors de l'infection, ce virus modifie le registre du système en écrivant "Clazz" en tant que propriétaire enregistré de cette copie de Windows. En essayant de voir, le virus le code avec une probabilité de 25% et définit le mot de passe "Clazz" pour le document actif, ou, avec la même probabilité, supprime tous les fichiers dans le dossier actuel.


Lien vers l'original