Vulnerabilidades Amenazas

English Russian Japanese LatAm Türkiye Brasil France Český Deutschland

ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.MSWord.Class

Inicio Amenazas Virus Virus.MSWord.Class
Clase Virus
Plataforma MSWord
Descripción

Detalles técnicos

Este virus contiene dos macros en un Módulo, "ThisDocument", y las macros tienen diferentes nombres en los documentos y NORMAL.DOT: 



Documentos NORMAL.DOT


AutoOpen AutoClose – rutinas de infección y desencadenante


ViewVBCode ToolsMacro – sigilo, deshabilita la visualización del código de macro

El virus infecta el área global de macros al abrir un documento infectado. Al infectar, el virus exporta el código de virus a C: CLASS.SYS y lo inserta en NORMAL.DOT. Los documentos están infectados de la misma manera.

La rutina de mutación del virus (polimórfica) inserta comentarios en el código del virus, que contiene un nombre de usuario, fecha y hora actual e información sobre la impresora activa.

El virus usa una forma efectiva de ocultar su código. Mediante el uso de operadores especiales de WordBasic, el virus instala su módulo, no en el área estándar de macroprogramas, sino en el área de clases de Word, el área de rutinas estándar que manejan eventos de Word, es decir, kernel de Word. El virus agrega su código a documentos y plantillas, no como una aplicación de usuario (macroprograma), sino como un componente de Word "nativo". Como resultado, el virus no es visible en Herramientas / Macro y Archivo / Plantillas (¿por qué motivo el virus engancha ToolsMacro?)

El virus desactiva la autoprotección. El día 31, el virus muestra el MessageBox: 



Esto es clase


? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -?


? VicodinES / CB / TNN?


? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -?

Class.d

Cada mes desde junio hasta diciembre el día 14, el virus muestra el mensaje: 



Class.Poppy


creo  es un gran imbécil estúpido!

El virus también cambia los valores en las claves de registro: 



HKLMSoftwareMicrosoftWindowsCurrentVersionRegisteredOwner = "VicodinES / CB / TNN"


RegisteredOrganization = "- (Dr. Diet Mountain Dew) -"

Class.bs

Tras la infección, este virus modifica el registro del sistema escribiendo "Clazz" como el propietario registrado de esta copia de Windows. Al intentar ver, el virus lo codifica con una probabilidad del 25% y establece la contraseña "Clazz" para el documento activo o, con la misma probabilidad, elimina todos los archivos en la carpeta actual.


Enlace al original
Descubra las estadísticas de las amenazas que se propagan en su región
© 2023 AO Kaspersky Lab. All Rights Reserved.
Política de privacidad

Arriba