Virus.MSWord.Sebelas

Détails techniques

C'est un macro-virus furtif. Il contient dix-huit procédures dans un module «xSebelas»: xSebelasInit, AntiMakro, DisplayPath4, McOpen, ShowForm, FileOpen, AutoOpen, ViewVBCode, AutoExec, AutoExit, ToolsMacro, FileTemplates, FormatStyle, ReFresh, AutoClose, FileExit, ToolsOptions et HelpAbout.

Le virus infecte la zone globale des macros lors de l'ouverture d'un document infecté (AutoOpen) et infecte les autres documents à l'ouverture et à la fermeture (AutoOpen et AutoClose). En quittant MS Word, le virus crée également deux documents infectés dans le répertoire de démarrage MS Word: ces documents portent les noms BIOS.VXD et WINSSPI.DOT.

Le virus désactive la protection contre les virus Word (l'option VirusProtection), masque le menu Outils / Macro (furtif) et bloque l'ouverture de l'éditeur Visual Basic.

À l'ouverture de tout document, le virus vérifie la date du système et affiche les messages suivants:

le 4 février:

Version eX-Sebelas 3.9

'Met ulang tahun Natalie Imbruglia!

le 1er novembre:

Version eX-Sebelas 3.9

'Met ulang tahun Erry Delphiero!

le 7 octobre:

Version eX-Sebelas 3.9

'Met ulang tahun DaNnY DeSPiRo!

Le 11 de chaque mois à partir du 11 avril 1999, le virus règle la couleur de la police pour tout le texte d'un document (cache le texte – blanc sur blanc), puis insère, à la fin du document, le texte (avec couleur noire):

Viva eX-SeBeLaS!

À partir du 11 avril 1999, le virus, toutes les 30 minutes, affiche une fenêtre de dialogue avec une image. La même fenêtre de dialogue s'affiche en entrant dans le menu Aide / À propos de.

À partir du 11 avril 1999, en quittant MS Word, le virus renomme le fichier AUTOEXEC.BAT en XSEBELAS.BAT et crée un nouveau fichier AUTOEXEC.BAT qui appelle le programme d'origine (stocké dans XSEBELAS.BAT), puis affiche le texte. :

+ ————————————————- ——————- +

| Version eX-SeBeLaS 3.9 |

| [spécial dédié à Natalie 'Jane' Imbruglia] |

| ————————————————- ——————- |

| DaNnY DeSPiRo: |

| Salam saya buat anak-anak SMAN 11 Bandung, Analisis Kimia – UNPAD, |

| Delapan Makhluk Mignon (DMC), QLas (KIR SMUN 11 Bandung), 'truz buat |

| Jihan Fahira (kapan kamu mampir ke rumah lagi? E-mail saya dong), |

| teman-teman saya de alam fana ini dan spesial buat cewek lucu yang |

| Mirip Natalie Imbruglia … [despiro@hotmail.com] |

| ————————————————- ——————- |

| ErRy DeLPhIeRo: |

| BuAT aNAk-AnAk AMIK-SuKapURa TSM, AMIK-BaNDuNg, DJEPROETH '95, 'en |

| BaRuDaK TeAtEr NuAnSa, BuS GadSam '95: Ne Me vouS … E-MaiL |

| GuE YaCh … Buat ANaK-aNAk «ACC», Buat GaDiS-GaDIs YaNG CaRe 'en |

| MaU KeNAlaN AMa ErRy di TuNGgU LHo e-MayLnyA, «EnSeIL spÉCiaL |

| LuTju GiRl NaTaLiE ImBrUgLiA! [delphiero@hotmail.com] |

| ————————————————- ——————- |

| … désolé de vous envoyer un virus (peut-être plus d'un), nous venons de – |

| voulons nous prouver que la programmation de virus est très amusante … |

+ ————————————————- ——————- +