Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este virus se replica de la misma manera que otros virus de Excel. Engancha los eventos del sistema (activación de ventana – OnWindows) y copia su código a cada hoja que se activa. Al primer inicio (al abrir por primera vez una hoja infectada) el virus se instala en el sistema: registra su archivo de host como complemento con el nombre XLSHEET.XLA en el directorio actual o en el de C: WINDOWS. En dicha solicitud, Excel crea automáticamente una nueva copia del documento infectado (con el nombre XLSHEET.XLA) y en cada próximo inicio de Excel cargará y activará este complemento, es decir, el código del virus. Como resultado, después de crear el complemento infectado, el virus está activo todo el tiempo que se ejecuta Excel e infecta todos los archivos que se abren o crean.

El virus es de origen francés (vea los nombres de las rutinas a continuación) pero puede infectar y replicar bajo cualquier versión local de Excel a partir de 4.

El virus tiene cinco rutinas: auto_ouvrir, activation_feuille, protect, !!! GO, auto_fermer. Todos ellos (excepto !!! IR) llaman rutina de infección. Dependiendo del contador aleatorio del sistema (con una probabilidad del 2%), el virus activa la subrutina desencadenante (que se coloca en la rutina GO). La rutina de activación oculta todas las tablas abiertas y los elementos de Excel (botones, menús, barra de estado) y reemplaza el texto "Microsoft Excel" en la parte superior de la ventana de Excel con el texto: "Enfin la paix …"

No es posible detectar y desinfectar el virus utilizando métodos estándar (ingresando Herramientas / Macro y buscando macros) porque el virus establece el atributo VeryHidden para sus macros. Tal atributo no se puede desactivar mediante el uso de menús de Excel. Para buscar y ver el código de virus que es necesario para escribir una rutina especial en Excel Basic (rutina de macros).

Como resultado, un usuario no tiene herramientas para detectar este virus en su computadora, y todos los programas antivirus conocidos no pueden detectarlo ahora. El virus se puede encontrar solo por sus rastros:



– en el menú Herramientas / Complementos hay referencia para el archivo XLSHEET

– Los archivos infectados contienen las cadenas de texto:

Enfin la paix …

!!!IR

La protección parcial se puede lograr creando en el directorio C: WINDOWS el archivo ficticio de solo lectura con el nombre XLSHEET.XLA. Después de eso, el virus no podrá instalar su complemento en el directorio C: WINDOWS. Si crea este complemento en otros directorios, también debe crear el mismo archivo ficticio XLSHEET.XLA en estos directorios.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Virus
Plataforma	MSExcel
Descripción	Detalles técnicos Este virus se replica de la misma manera que otros virus de Excel. Engancha los eventos del sistema (activación de ventana – OnWindows) y copia su código a cada hoja que se activa. Al primer inicio (al abrir por primera vez una hoja infectada) el virus se instala en el sistema: registra su archivo de host como complemento con el nombre XLSHEET.XLA en el directorio actual o en el de C: WINDOWS. En dicha solicitud, Excel crea automáticamente una nueva copia del documento infectado (con el nombre XLSHEET.XLA) y en cada próximo inicio de Excel cargará y activará este complemento, es decir, el código del virus. Como resultado, después de crear el complemento infectado, el virus está activo todo el tiempo que se ejecuta Excel e infecta todos los archivos que se abren o crean. El virus es de origen francés (vea los nombres de las rutinas a continuación) pero puede infectar y replicar bajo cualquier versión local de Excel a partir de 4. El virus tiene cinco rutinas: auto_ouvrir, activation_feuille, protect, !!! GO, auto_fermer. Todos ellos (excepto !!! IR) llaman rutina de infección. Dependiendo del contador aleatorio del sistema (con una probabilidad del 2%), el virus activa la subrutina desencadenante (que se coloca en la rutina GO). La rutina de activación oculta todas las tablas abiertas y los elementos de Excel (botones, menús, barra de estado) y reemplaza el texto "Microsoft Excel" en la parte superior de la ventana de Excel con el texto: "Enfin la paix …" No es posible detectar y desinfectar el virus utilizando métodos estándar (ingresando Herramientas / Macro y buscando macros) porque el virus establece el atributo VeryHidden para sus macros. Tal atributo no se puede desactivar mediante el uso de menús de Excel. Para buscar y ver el código de virus que es necesario para escribir una rutina especial en Excel Basic (rutina de macros). Como resultado, un usuario no tiene herramientas para detectar este virus en su computadora, y todos los programas antivirus conocidos no pueden detectarlo ahora. El virus se puede encontrar solo por sus rastros: – en el menú Herramientas / Complementos hay referencia para el archivo XLSHEET – Los archivos infectados contienen las cadenas de texto: Enfin la paix … !!!IR La protección parcial se puede lograr creando en el directorio C: WINDOWS el archivo ficticio de solo lectura con el nombre XLSHEET.XLA. Después de eso, el virus no podrá instalar su complemento en el directorio C: WINDOWS. Si crea este complemento en otros directorios, también debe crear el mismo archivo ficticio XLSHEET.XLA en estos directorios.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Virus.MSExcel.Paix

Detalles técnicos