ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.MSExcel.Paix

Clase Virus
Plataforma MSExcel
Descripción

Detalles técnicos

Este virus se replica de la misma manera que otros virus de Excel. Engancha los eventos del sistema (activación de ventana – OnWindows) y copia su código a cada hoja que se activa. Al primer inicio (al abrir por primera vez una hoja infectada) el virus se instala en el sistema: registra su archivo de host como complemento con el nombre XLSHEET.XLA en el directorio actual o en el de C: WINDOWS. En dicha solicitud, Excel crea automáticamente una nueva copia del documento infectado (con el nombre XLSHEET.XLA) y en cada próximo inicio de Excel cargará y activará este complemento, es decir, el código del virus. Como resultado, después de crear el complemento infectado, el virus está activo todo el tiempo que se ejecuta Excel e infecta todos los archivos que se abren o crean.

El virus es de origen francés (vea los nombres de las rutinas a continuación) pero puede infectar y replicar bajo cualquier versión local de Excel a partir de 4.

El virus tiene cinco rutinas: auto_ouvrir, activation_feuille, protect, !!! GO, auto_fermer. Todos ellos (excepto !!! IR) llaman rutina de infección. Dependiendo del contador aleatorio del sistema (con una probabilidad del 2%), el virus activa la subrutina desencadenante (que se coloca en la rutina GO). La rutina de activación oculta todas las tablas abiertas y los elementos de Excel (botones, menús, barra de estado) y reemplaza el texto "Microsoft Excel" en la parte superior de la ventana de Excel con el texto: "Enfin la paix …"

No es posible detectar y desinfectar el virus utilizando métodos estándar (ingresando Herramientas / Macro y buscando macros) porque el virus establece el atributo VeryHidden para sus macros. Tal atributo no se puede desactivar mediante el uso de menús de Excel. Para buscar y ver el código de virus que es necesario para escribir una rutina especial en Excel Basic (rutina de macros).

Como resultado, un usuario no tiene herramientas para detectar este virus en su computadora, y todos los programas antivirus conocidos no pueden detectarlo ahora. El virus se puede encontrar solo por sus rastros:


– en el menú Herramientas / Complementos hay referencia para el archivo XLSHEET
– Los archivos infectados contienen las cadenas de texto:
Enfin la paix …
!!!IR

La protección parcial se puede lograr creando en el directorio C: WINDOWS el archivo ficticio de solo lectura con el nombre XLSHEET.XLA. Después de eso, el virus no podrá instalar su complemento en el directorio C: WINDOWS. Si crea este complemento en otros directorios, también debe crear el mismo archivo ficticio XLSHEET.XLA en estos directorios.


Enlace al original