CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.MSWord.Dot666

Classe Virus
Plateforme MSWord
Description

Détails techniques

C'est un virus de macro spécifique allemand polymorphe. Cela ne se manifeste d'aucune façon. Il contient trois macros: AutoClose, ExtrasMakro, DateiDokVorlagen.

AutoClose est une macro automatique qui est exécutée à la fermeture de n'importe quel fichier. Le virus utilise ce crochet pour se répliquer lors de la fermeture des documents. ExtrasMakro et DateiDokVorlagen sont des macros de visualisation / édition des fonctions (Fichier / Modèles, Outils / Macro) en allemand MS Word, ce sont des routines de virus furtifs.

Le virus a un mécanisme furtif assez inhabituel. En infectant la zone de macros globale, il copie en NORMAL.DOT une seule macro AutoClose. Deux autres macros sont écrites dans le fichier 666.DOT qui est placé dans le répertoire de démarrage de Word. Lorsque l'une de ces macros prend le contrôle (en entrant File / Templates ou Tools / Macro) le virus temporaire déplace son AutoClose de NORMAL.DOT vers le fichier 666.DOT. En quittant ces fonctions, le virus restaure la macro AutoClose dans le fichier NORMAL.DOT. Ainsi, le virus se protège de la découverte (furtivité).

Sur chaque réplication, le virus utilise son moteur de mutation polymorphe. Il change aléatoirement les noms de toutes les variables et fonctions du virus.


Lien vers l'original