CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.MSWord.Mentes

Classe Virus
Plateforme MSWord
Description

Détails techniques

Ceci est un virus de macro Word chiffré. Il contient dix macros: Killer, AutoExec, AutoOpen, DocFerme, FileOpen, FileSave, AutoClose, FileSaveAs, ListMacros, ToolsMacro.

Le virus répliqué lors de l'ouverture d'un document infecté, enregistrez et enregistre avec un nouveau nom. La routine de réplication ne présente que dans une macro Killer, d'autres macros l'appellent pour propager le virus. La sous-routine d'infection dans le virus est appelée "MENTES".

L'auteur du virus laisse une possibilité d'auto-destruction: si le fichier MY.INI existe dans le répertoire Windows et qu'il contient la section [Word Info] avec la chaîne "Kod = aaa" à l'intérieur, le virus désactive sa routine d'infection et supprime tout ses macros.

Le virus est capable de "voler" des documents lorsqu'ils sont sauvegardés. Pour ce faire, le virus écrit le nom de fichier C: LOGIN.SYS du document fermé, la date actuelle, l'heure et le contenu du document. Il connecte ensuite la disquette HS_WORKHCOMMONSTUDENTTEMP et déplace le fichier C: LOGIN.SYS vers le premier lecteur logique en écriture. Le nom du nouveau fichier est ARCHIVE.A ??, où '??' est le numéro de "10" jusqu'à "50". Ce nom de fichier est également enregistré dans le fichier PROG.INI sur le même disque.

En entrant dans les menus Liste / Macros et Outils / Macro Word, le virus affiche le MessageBox et annule l'exécution des routines de visualisation des macros d'origine (furtif):


La fonction macro n'est pas installée.


Lien vers l'original