Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

Ce virus contient deux macros dans un module, "ThisDocument", et les macros ont des noms différents dans les documents et NORMAL.DOT:

Documents NORMAL.DOT

AutoOpen AutoClose – infection et routines de déclenchement

ViewVBCode ToolsMacro – furtif, désactive l'affichage du code de macro

Le virus infecte la zone des macros globales lors de l'ouverture d'un document infecté. Lors de l'infection, le virus exporte le code du virus vers C: CLASS.SYS et l'insère dans le fichier NORMAL.DOT. Les documents sont infectés de la même manière.

La routine de mutation virale (polymorphe) insère des commentaires dans le code du virus, contenant un nom d'utilisateur, la date et l'heure actuelles et des informations sur l'imprimante active.

Le virus utilise un moyen efficace pour cacher son code. En utilisant des opérateurs WordBasic spéciaux, le virus installe son module, pas dans la zone standard des programmes macro, mais dans la zone des classes Word – la zone des routines standard qui gèrent les événements Word, c'est-à-dire, le noyau Word. Le virus ajoute son code aux documents et aux modèles, non en tant qu'application utilisateur (programme macro), mais en tant que composant Word "natif". En conséquence, le virus n'est pas visible dans Outils / Macro et Fichier / Modèles (pour quelle raison le virus puis crochet ToolsMacro?)

Le virus désactive la protection automatique. Le 31, le virus affiche le MessageBox:

C'est la classe

? -? -? -? -? -? -? -? -? -? – ß – ß – ß – ß – ß – ß – ß – ß – ß – ß – ß -?

? VicodinES / CB / TNN?

? -? -? -? -? -? -? -? -? -? – ß – ß – ß – ß – ß – ß – ß – ß – ß – ß – ß -?

Class.d

Chaque mois, de juin à décembre, le jour 14, le virus affiche le message suivant:

Class.Poppy

je pense est un gros con stupide!

Le virus modifie également les valeurs dans les clés de registre:


HKLMSoftwareMicrosoftWindowsCurrentVersionRegisteredOwner = "VicodinES / CB / TNN"
RegisteredOrganization = "- (Dr. Diet Mountain Dew) -"

Class.bs

Lors de l'infection, ce virus modifie le registre du système en écrivant "Clazz" en tant que propriétaire enregistré de cette copie de Windows. En essayant de voir, le virus le code avec une probabilité de 25% et définit le mot de passe "Clazz" pour le document actif, ou, avec la même probabilité, supprime tous les fichiers dans le dossier actuel.

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	Virus
Plateforme	MSWord
Description	Détails techniques Ce virus contient deux macros dans un module, "ThisDocument", et les macros ont des noms différents dans les documents et NORMAL.DOT: Documents NORMAL.DOT AutoOpen AutoClose – infection et routines de déclenchement ViewVBCode ToolsMacro – furtif, désactive l'affichage du code de macro Le virus infecte la zone des macros globales lors de l'ouverture d'un document infecté. Lors de l'infection, le virus exporte le code du virus vers C: CLASS.SYS et l'insère dans le fichier NORMAL.DOT. Les documents sont infectés de la même manière. La routine de mutation virale (polymorphe) insère des commentaires dans le code du virus, contenant un nom d'utilisateur, la date et l'heure actuelles et des informations sur l'imprimante active. Le virus utilise un moyen efficace pour cacher son code. En utilisant des opérateurs WordBasic spéciaux, le virus installe son module, pas dans la zone standard des programmes macro, mais dans la zone des classes Word – la zone des routines standard qui gèrent les événements Word, c'est-à-dire, le noyau Word. Le virus ajoute son code aux documents et aux modèles, non en tant qu'application utilisateur (programme macro), mais en tant que composant Word "natif". En conséquence, le virus n'est pas visible dans Outils / Macro et Fichier / Modèles (pour quelle raison le virus puis crochet ToolsMacro?) Le virus désactive la protection automatique. Le 31, le virus affiche le MessageBox: C'est la classe ? -? -? -? -? -? -? -? -? -? – ß – ß – ß – ß – ß – ß – ß – ß – ß – ß – ß -? ? VicodinES / CB / TNN? ? -? -? -? -? -? -? -? -? -? – ß – ß – ß – ß – ß – ß – ß – ß – ß – ß – ß -? Class.d Chaque mois, de juin à décembre, le jour 14, le virus affiche le message suivant: Class.Poppy je pense est un gros con stupide! Le virus modifie également les valeurs dans les clés de registre: HKLMSoftwareMicrosoftWindowsCurrentVersionRegisteredOwner = "VicodinES / CB / TNN" RegisteredOrganization = "- (Dr. Diet Mountain Dew) -" Class.bs Lors de l'infection, ce virus modifie le registre du système en écrivant "Clazz" en tant que propriétaire enregistré de cette copie de Windows. En essayant de voir, le virus le code avec une probabilité de 25% et définit le mot de passe "Clazz" pour le document actif, ou, avec la même probabilité, supprime tous les fichiers dans le dossier actuel.
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

Virus.MSWord.Class

Détails techniques

Class.d

Class.bs