CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.MSWord.Mutalisk

Classe Virus
Plateforme MSWord
Description

Détails techniques

Ce macro virus polymorphe furtif contient dix procédures dans un module "ThisDocument": autoopen, autonew, viewvbcode, toolsmacro, filetemplates, et trois macros avec des noms générés aléatoirement.

Le virus infecte la zone globale des macros lors de l'ouverture d'un document infecté (AutoOpen). D'autres documents sont infectés à leur ouverture et à leur création. Pendant l'infection du virus, la protection contre les virus Word est désactivée (option VirusProtection). Ensuite, le virus recherche sur le lecteur C: pour AVP, F-PROT95, F-Macro, McAfee Virus Scan, Norton AntiVirus, TBAVW95 et d'autres anti-virus et supprime leurs fichiers.

Si le client mIRC est installé dans le dossier "C: MIRC", le virus stocke juste le document ouvert ou créé comme "C: MIRCBACKUPY2K.DOC" et supprime le script par défaut de mIRC (fichier SCRIPT.INI, il s'exécute chaque fois que le client mIRC démarre) . Le virus essaie alors de créer un nouveau fichier SCRIPT.INI pour se propager via des canaux IRC, mais en cas d'erreur, cela ne se produit pas.

Sur le document ouvert, le virus ouvre la fenêtre Visual Basic Editor. Lors de la création d'un document, il ferme la fenêtre Visual Basic Editor s'il est ouvert. En appuyant sur la combinaison Alt-F11 (commande Visual Basic Editor) le virus efface le premier module de code dans le document actif et le premier dans la zone globale des macros (ce qui contient le code viral) et seulement après cela rend la fenêtre Visual Basic Editor visible.

Le moteur polymorphique du virus remplace les noms de certaines procédures et insère des commentaires générés de manière aléatoire dans le code du virus. En résultat d'un bug parfois le moteur produit le code qui ne fonctionne pas.


Lien vers l'original