本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Virus.MSWord.Layla

クラス Virus
プラットフォーム MSWord
説明

技術的な詳細

これは危険なステルスマクロウイルスです。 AutoOpen、LAYLA、AutoExec、AutoExit、AutoClose、FileClose、ToolsMacro、ToolsCustomize、FileTemplates、ViewVBCodeの10個のマクロが1つのモジュール "TJ"に含まれています。

感染した文書(AutoOpen)を開く際にグローバルマクロ領域に感染し、開閉時に他の文書に感染します(AutoOpen、AutoClose)。

ウイルスはWordウイルスの保護(VirusProtectionオプション)を無効にし、ユーザー定義のマクロを含む "NewMacros"モジュールを削除します。また、ツール/マクロ、ツール/カスタマイズメニュー(ステルス)を無効にします。 Visual Basic Editorを開くと、ウイルスは文書の変更を保存せずにWordを閉じます。

閉鎖文書のある月の27日または29日に、ウイルスはペイロード手順を実行します。これらの日にWordを開くと、ウイルスはステータスバーに次のテキストを表示します。


素晴らしい日…私にとっては… 🙂

ペイロード手順は、1分の27秒または29秒に文書を開く際にも実行されます。このプロシージャは、すべての桁をテキスト「Tj」または「Layla」で置き換えます。また、それは牡羊座のサインによって文書のすべての9番目の文字を置き換えます。

Wordを終了すると、ワイルドカード「* d * r * w *。*」でファイルの「c:」、「c:プログラムファイル」、「d:」および「e:」のサブディレクトリが検索されます(DrWeb anti適切なファイルが見つかったディレクトリ内のすべてのファイルを削除します。次に、 "* a * v * p *。*"を検索し、 "* .avc"と "* .key"ファイル(AVPアンチウイルスデータベースとキーファイル)を削除します。非常に不快なワイルドカードの結果、ウイルスは他の多くのファイルを削除することができます。

このウイルスは、以下の情報も変更します。


UserName = ""
UserInitials = "TJ_LAYLA"
UserAddress = ""


オリジナルへのリンク