Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

Ceci est un virus Word non polymorphe. Le virus réside dans le module RedTerrorist.

Il a sept sous-programmes:

 AutoOpen 
AutoFermer 
FuckThemAll 
ToolsMacro 
OutilsPersonnaliser 
VoirVBCode 
Retard

Le virus se réplique lorsqu'un document est ouvert ou fermé.

AutoOpen, AutoClose:

Ces procédures appellent uniquement la routine d'infection principale du virus, qui est dans la routine FuckThemAll.

Retard:

Cette macro provoque une pause du système avant l'affichage d'une fenêtre de message.

 Pour i = 0 à 19170000
Prochain

FuckThemAll:

Routine principale de virus. Vérifie le paramètre système 'Country' et si c'est 'US', il lance ensuite l'interpréteur de commandes:

 "c: command.com C echo y | del" + Environ ("windir") + "système *. *> nul"

Après cela, le virus définit les paramètres suivants:

 .SaveNormalPrompt = False 
.VirusProtection = Faux 
.AllowFastSave = True 
.BackgroundSave = True

Le virus vérifie la présence dans le document actif (ou normal.dot) du module 'RedTerrorist'. Une infection répétée ne se produira pas. Si le module n'est pas trouvé, le virus crée un fichier d'exportation 'user.vxd' dans% windir %% temp% catalogue et infecte le document. Après cela, le virus supprime le fichier d'exportation 'user.vxd'

OutilsCustomize, ToolsMacro, ViewVBCode:

Ces trois routines sont utilisées pour la furtivité; quand ils sont exécutés, ils appellent la routine Delay et affichent des boîtes de message:

OutilsMacro:

 Processus de premier niveau abandonné, ne peut pas continuer

OutilsPersonnaliser

 Configuration trop grande pour la mémoire

VoirVBCode

 Erreur dans le fichier EXE, programme trop grand pour tenir dans la mémoire

Lien vers l'original

Classe	Virus
Plateforme	MSWord
Description	Détails techniques Ceci est un virus Word non polymorphe. Le virus réside dans le module RedTerrorist. Il a sept sous-programmes: AutoOpen AutoFermer FuckThemAll ToolsMacro OutilsPersonnaliser VoirVBCode Retard Le virus se réplique lorsqu'un document est ouvert ou fermé. AutoOpen, AutoClose: Ces procédures appellent uniquement la routine d'infection principale du virus, qui est dans la routine FuckThemAll. Retard: Cette macro provoque une pause du système avant l'affichage d'une fenêtre de message. Pour i = 0 à 19170000 Prochain FuckThemAll: Routine principale de virus. Vérifie le paramètre système 'Country' et si c'est 'US', il lance ensuite l'interpréteur de commandes: "c: command.com C echo y \| del" + Environ ("windir") + "système . > nul" Après cela, le virus définit les paramètres suivants: .SaveNormalPrompt = False .VirusProtection = Faux .AllowFastSave = True .BackgroundSave = True Le virus vérifie la présence dans le document actif (ou normal.dot) du module 'RedTerrorist'. Une infection répétée ne se produira pas. Si le module n'est pas trouvé, le virus crée un fichier d'exportation 'user.vxd' dans% windir %% temp% catalogue et infecte le document. Après cela, le virus supprime le fichier d'exportation 'user.vxd' OutilsCustomize, ToolsMacro, ViewVBCode: Ces trois routines sont utilisées pour la furtivité; quand ils sont exécutés, ils appellent la routine Delay et affichent des boîtes de message: OutilsMacro: Processus de premier niveau abandonné, ne peut pas continuer OutilsPersonnaliser Configuration trop grande pour la mémoire VoirVBCode Erreur dans le fichier EXE, programme trop grand pour tenir dans la mémoire
	Lien vers l'original

Virus.MSWord.Redter

Détails techniques

AutoOpen, AutoClose:

Retard:

FuckThemAll:

OutilsCustomize, ToolsMacro, ViewVBCode: