CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.MSWord.Prism

Classe Virus
Plateforme MSWord
Description

Détails techniques

Ceci est un macro-virus Word crypté. Il contient neuf macros: PRiZM, AutoExec, AutoOpen, FichierOuvre, FileSave, FilePrint, FileSaveAs, ToolsMacro et FileTemplates.

Il est basé sur le virus "Word.Cap" , a une structure similaire et un ensemble d'instructions. Il se réplique lors de l'ouverture, de la fermeture et de l'enregistrement du document.

Lors de l'impression, le virus ajoute une chaîne à la fin du document imprimé:


Bataille de la vie. Capitale!!!

Le virus a une méthode d'infection inhabituelle. Lors de l'infection, le virus effectue plusieurs étapes, utilise le registre du système et supprime un fichier EXE supplémentaire. La routine d'infection est placée dans le code du virus sous la forme d'un ensemble de chaînes de texte qui sont des instructions DDE (Dynamic Data Exchange). Si nécessaire, le virus les exécute et ces instructions copient le code du virus pour cibler les documents et les modèles.

Pour exécuter ses instructions DDE, le virus les enregistre dans le registre système dans le fichier "HKEY_CLASSES_ROOT ### fileshellopenddeexec". Le virus enregistre ensuite une nouvelle extension "###" et définit DDEEXEC comme un gestionnaire de fichiers avec une telle extension.

Le virus crée ensuite un fichier EXE nommé de manière aléatoire dans le répertoire temporaire Windows et y écrit un programme court. Ce programme crée et ouvre uniquement le fichier "PRiZM. ###". Cette extension de nom de fichier est liée à DDEEXEC et, par conséquent, Windows active le virus, les instructions DDE, les exécute et ils copient le code du virus dans un fichier victime.


Lien vers l'original