CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.MSWord.Greenpeace

Classe Virus
Plateforme MSWord
Description

Détails techniques

C'est un virus de macro Word crypté, il contient sept macros:


Documents NORMAL.DOT
FlSvvs FileSaveAs
FlSvv FileSave
AtExc AutoExec
FlOpvvv FileOpen
AutoOpen ImpRovevvvv5
TlsMcr ToolsMacro
FileExit FClccc
Le virus infecte la zone de macros globale (NORMAL.DOT) lors de l'ouverture d'un document infecté (AutoOpen) et écrit lui-même dans les documents enregistrés avec un nouveau nom (FileSaveAs).

Le 22 mai 1998, lorsque Word démarre, le virus affiche le MessageBox:


Belik Natasha demande:
Arrêtez la pollution d'un environnement !!!!!
Protégez la couche d'ozone!
Volga de sauvetage !!!
Payer le salaire !!!!!
GreenPeace Virus
Si l'auteur du document est "Igor Daniloff", le virus remplace les macros AutoOpen et IDRWEBSCAN par des macros inoffensives: new AutoOpen affiche le MessageBox:

Dans l'environnement WinWord6.0 / 7.0rus
les virus ne sont pas distribués
DrWeb pour WinWord
IDRWEBSCAN est remplacé par une macro de do-nothing.

En entrant dans le menu "Outils / Macro", le virus définit la protection par mot de passe du document (password = "orhey"), et le réinitialise après avoir quitté "Tools / Macro".


Lien vers l'original