ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.MSWord.Layla

Clase Virus
Plataforma MSWord
Descripción

Detalles técnicos

Es un macro virus sigiloso peligroso. Contiene diez macros en un módulo "TJ": AutoOpen, LAYLA, AutoExec, AutoExit, AutoClose, FileClose, ToolsMacro, ToolsCustomize, FileTemplates, ViewVBCode.

Infecta el área global de macros al abrir un documento infectado (AutoOpen) e infecta otros documentos al abrir y cerrar (AutoOpen, AutoClose).

El virus desactiva la protección de virus de Word (la opción VirusProtection) y elimina el módulo "NewMacros" que contiene macros definidas por el usuario. También desactiva las Herramientas / Macro, Herramientas / Personalizar menús (sigilo). Al abrir el editor de Visual Basic, el virus cierra Word sin guardar los cambios en los documentos.

Los días 27 o 29 de cualquier mes en los documentos de cierre, el virus ejecuta su procedimiento de carga útil. Al abrir Word en estos días, el virus muestra en la barra de estado el texto:


Excelente dia … para mi … 🙂

El procedimiento de carga útil también se ejecuta en el documento de apertura a los 27 o 29 segundos de minuto. Este procedimiento reemplaza todos los dígitos por el texto "Tj" o "Layla" depende del día del mes. También reemplaza cada noveno personaje del documento por el signo de Aries.

Al salir de Word, el virus busca en los subdirectorios de "c:", "c: archivos de programa", "d:" y "e:" para los archivos por comodín "* d * r * w *. *" (Buscando DrWeb anti -virus) y elimina todos los archivos en los directorios donde se encontraron los archivos adecuados. Luego busca "* a * v * p *. *" Y elimina los archivos "* .avc" y "* .key" (bases de datos antivirus AVP y archivo de claves). Como resultado de comodines bastante desagradables, el virus puede eliminar muchos otros archivos.

El virus también cambia la siguiente información:


Nombre de usuario = ""
UserInitials = "TJ_LAYLA"
UserAddress = ""


Enlace al original