Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

Ce macro virus polymorphe furtif contient dix procédures dans un module "ThisDocument": autoopen, autonew, viewvbcode, toolsmacro, filetemplates, et trois macros avec des noms générés aléatoirement.

Le virus infecte la zone globale des macros lors de l'ouverture d'un document infecté (AutoOpen). D'autres documents sont infectés à leur ouverture et à leur création. Pendant l'infection du virus, la protection contre les virus Word est désactivée (option VirusProtection). Ensuite, le virus recherche sur le lecteur C: pour AVP, F-PROT95, F-Macro, McAfee Virus Scan, Norton AntiVirus, TBAVW95 et d'autres anti-virus et supprime leurs fichiers.

Si le client mIRC est installé dans le dossier "C: MIRC", le virus stocke juste le document ouvert ou créé comme "C: MIRCBACKUPY2K.DOC" et supprime le script par défaut de mIRC (fichier SCRIPT.INI, il s'exécute chaque fois que le client mIRC démarre) . Le virus essaie alors de créer un nouveau fichier SCRIPT.INI pour se propager via des canaux IRC, mais en cas d'erreur, cela ne se produit pas.

Sur le document ouvert, le virus ouvre la fenêtre Visual Basic Editor. Lors de la création d'un document, il ferme la fenêtre Visual Basic Editor s'il est ouvert. En appuyant sur la combinaison Alt-F11 (commande Visual Basic Editor) le virus efface le premier module de code dans le document actif et le premier dans la zone globale des macros (ce qui contient le code viral) et seulement après cela rend la fenêtre Visual Basic Editor visible.

Le moteur polymorphique du virus remplace les noms de certaines procédures et insère des commentaires générés de manière aléatoire dans le code du virus. En résultat d'un bug parfois le moteur produit le code qui ne fonctionne pas.

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	Virus
Plateforme	MSWord
Description	Détails techniques Ce macro virus polymorphe furtif contient dix procédures dans un module "ThisDocument": autoopen, autonew, viewvbcode, toolsmacro, filetemplates, et trois macros avec des noms générés aléatoirement. Le virus infecte la zone globale des macros lors de l'ouverture d'un document infecté (AutoOpen). D'autres documents sont infectés à leur ouverture et à leur création. Pendant l'infection du virus, la protection contre les virus Word est désactivée (option VirusProtection). Ensuite, le virus recherche sur le lecteur C: pour AVP, F-PROT95, F-Macro, McAfee Virus Scan, Norton AntiVirus, TBAVW95 et d'autres anti-virus et supprime leurs fichiers. Si le client mIRC est installé dans le dossier "C: MIRC", le virus stocke juste le document ouvert ou créé comme "C: MIRCBACKUPY2K.DOC" et supprime le script par défaut de mIRC (fichier SCRIPT.INI, il s'exécute chaque fois que le client mIRC démarre) . Le virus essaie alors de créer un nouveau fichier SCRIPT.INI pour se propager via des canaux IRC, mais en cas d'erreur, cela ne se produit pas. Sur le document ouvert, le virus ouvre la fenêtre Visual Basic Editor. Lors de la création d'un document, il ferme la fenêtre Visual Basic Editor s'il est ouvert. En appuyant sur la combinaison Alt-F11 (commande Visual Basic Editor) le virus efface le premier module de code dans le document actif et le premier dans la zone globale des macros (ce qui contient le code viral) et seulement après cela rend la fenêtre Visual Basic Editor visible. Le moteur polymorphique du virus remplace les noms de certaines procédures et insère des commentaires générés de manière aléatoire dans le code du virus. En résultat d'un bug parfois le moteur produit le code qui ne fonctionne pas.
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

Virus.MSWord.Mutalisk

Détails techniques