Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

C'est un virus de macro Word spécifique à l'allemand. Il contient six macros, certaines macros ont des noms sélectionnés au hasard:



Documents MICROSOFT.DOT (Mot infecté)

 dateispeichernunter

extrasmakro extrasmakro

dateischliexen 

dateidokvorlagen dateidokvorlagen



autoopen

Il infecte le système à l'ouverture et à la fermeture d'un document infecté. Pour affecter Word, le virus crée le modèle MICROSOFT.DOT infecté dans le chemin d'accès de démarrage de Word. Les documents sont infectés lorsqu'ils sont enregistrés avec un nouveau nom.

La routine d'infection est placée dans une macro avec un nom aléatoire. Cette macro est cryptée dans les documents et décryptée en cas de besoin. Les noms des macros (noms aléatoires) sont stockés dans les variables des documents (dans le cas de documents), dans le cas du fichier MICROSOFT.DOT (système infecté) ils sont stockés dans le fichier WIN.INI dans la section [embedding] dans les éléments vxdRNDM, TaskRNDM, SystemRNDM.

Le 30 de chaque mois, le virus affiche le message:



Leeglize Cannabis !! RMM (C) par MaD KiFFeR 05.09.98

Le 15, le virus ajoute au fichier AUTOEXEC.BAT les commandes qui affichent cycliquement le texte:



Infecté par RnDm MuTanT MuTaGeN (c) MaD KiFFeR 05.09.98

Le virus contient les commentaires:



********************************

* WM RnDm MuTaNT MuTaGeN *

* vers Beta *

* Polymorphisme / Furtivité *

* chiffré par RMEG *

* Générateur de cryptage Macro aléatoire *

* imbéciles F / WIN32 1.13, F / WIN 4.38 *

* Winguard, F-PROT3 / F-MacroW1.1 *

* etc.!! *

* ne fonctionne qu'avec WORD95ger *

* F ** k lent WordBasic *

* spécial Thanx à [SLAM] Mag *

* 05.09.98 / Allemagne *

* (c) par MaD KiFFer *

********************************

Lien vers l'original

Classe	Virus
Plateforme	MSWord
Description	Détails techniques C'est un virus de macro Word spécifique à l'allemand. Il contient six macros, certaines macros ont des noms sélectionnés au hasard: Documents MICROSOFT.DOT (Mot infecté) dateispeichernunter extrasmakro extrasmakro dateischliexen dateidokvorlagen dateidokvorlagen autoopen Il infecte le système à l'ouverture et à la fermeture d'un document infecté. Pour affecter Word, le virus crée le modèle MICROSOFT.DOT infecté dans le chemin d'accès de démarrage de Word. Les documents sont infectés lorsqu'ils sont enregistrés avec un nouveau nom. La routine d'infection est placée dans une macro avec un nom aléatoire. Cette macro est cryptée dans les documents et décryptée en cas de besoin. Les noms des macros (noms aléatoires) sont stockés dans les variables des documents (dans le cas de documents), dans le cas du fichier MICROSOFT.DOT (système infecté) ils sont stockés dans le fichier WIN.INI dans la section [embedding] dans les éléments vxdRNDM, TaskRNDM, SystemRNDM. Le 30 de chaque mois, le virus affiche le message: Leeglize Cannabis !! RMM (C) par MaD KiFFeR 05.09.98 Le 15, le virus ajoute au fichier AUTOEXEC.BAT les commandes qui affichent cycliquement le texte: Infecté par RnDm MuTanT MuTaGeN (c) MaD KiFFeR 05.09.98 Le virus contient les commentaires: ******************************** * WM RnDm MuTaNT MuTaGeN * * vers Beta * * Polymorphisme / Furtivité * * chiffré par RMEG * * Générateur de cryptage Macro aléatoire * * imbéciles F / WIN32 1.13, F / WIN 4.38 * * Winguard, F-PROT3 / F-MacroW1.1 * * etc.!! * * ne fonctionne qu'avec WORD95ger * * F ** k lent WordBasic * * spécial Thanx à [SLAM] Mag * * 05.09.98 / Allemagne * * (c) par MaD KiFFer * ********************************
	Lien vers l'original

Virus.MSWord.Kiffer

Détails techniques