CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.MSWord.Layla

Classe Virus
Plateforme MSWord
Description

Détails techniques

C'est un virus de macro furtif dangereux. Il contient dix macros dans un module «TJ»: AutoOpen, LAYLA, AutoExec, AutoExit, AutoFerme, FileClose, ToolsMacro, ToolsCustomize, FileTemplates, ViewVBCode.

Il infecte la zone des macros globales lors de l'ouverture d'un document infecté (AutoOpen) et infecte les autres documents à l'ouverture et à la fermeture (AutoOpen, AutoClose).

Le virus désactive la protection contre les virus Word (l'option VirusProtection) et supprime le module "NewMacros" qui contient des macros définies par l'utilisateur. Il désactive également les menus Outils / Macro, Outils / Personnaliser (furtif). À l'ouverture de l'éditeur Visual Basic, le virus ferme Word sans enregistrer les modifications dans les documents.

Le 27 ou 29 de chaque mois sur les documents de fermeture, le virus exécute sa procédure de charge utile. Lors de l'ouverture de Word à ces jours, le virus affiche dans la barre d'état le texte:


Excellent jour … pour moi … 🙂

La procédure de charge utile est également exécutée sur le document d'ouverture à la 27e ou à la 29e seconde de la minute. Cette procédure remplace tous les chiffres par le texte "Tj" ou "Layla" dépend du jour du mois. En outre, il remplace tous les 9 caractères dans le document par le signe Bélier.

En quittant Word, le virus recherche dans les sous-répertoires de "c:", "c: fichiers programme", "d:" et "e:" pour les fichiers par joker "* d * r * w *. *" -virus) et supprime tous les fichiers dans les répertoires où les fichiers appropriés ont été trouvés. Ensuite, il recherche "* a * v * p *. *" Et supprime les fichiers "* .avc" et "* .key" (bases de données antivirus AVP et fichier clé). À la suite de caractères génériques tout à fait scrappy, le virus peut supprimer de nombreux autres fichiers.

Le virus change également les informations suivantes:


UserName = ""
UserInitials = "TJ_LAYLA"
UserAddress = ""


Lien vers l'original