Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Es un macro virus sigiloso peligroso. Contiene diez macros en un módulo "TJ": AutoOpen, LAYLA, AutoExec, AutoExit, AutoClose, FileClose, ToolsMacro, ToolsCustomize, FileTemplates, ViewVBCode.

Infecta el área global de macros al abrir un documento infectado (AutoOpen) e infecta otros documentos al abrir y cerrar (AutoOpen, AutoClose).

El virus desactiva la protección de virus de Word (la opción VirusProtection) y elimina el módulo "NewMacros" que contiene macros definidas por el usuario. También desactiva las Herramientas / Macro, Herramientas / Personalizar menús (sigilo). Al abrir el editor de Visual Basic, el virus cierra Word sin guardar los cambios en los documentos.

Los días 27 o 29 de cualquier mes en los documentos de cierre, el virus ejecuta su procedimiento de carga útil. Al abrir Word en estos días, el virus muestra en la barra de estado el texto:

Excelente dia … para mi … 🙂

El procedimiento de carga útil también se ejecuta en el documento de apertura a los 27 o 29 segundos de minuto. Este procedimiento reemplaza todos los dígitos por el texto "Tj" o "Layla" depende del día del mes. También reemplaza cada noveno personaje del documento por el signo de Aries.

Al salir de Word, el virus busca en los subdirectorios de "c:", "c: archivos de programa", "d:" y "e:" para los archivos por comodín "* d * r * w *. *" (Buscando DrWeb anti -virus) y elimina todos los archivos en los directorios donde se encontraron los archivos adecuados. Luego busca "* a * v * p *. *" Y elimina los archivos "* .avc" y "* .key" (bases de datos antivirus AVP y archivo de claves). Como resultado de comodines bastante desagradables, el virus puede eliminar muchos otros archivos.

El virus también cambia la siguiente información:

Nombre de usuario = ""UserInitials = "TJ_LAYLA"UserAddress = ""

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Virus
Plataforma	MSWord
Descripción	Detalles técnicos Es un macro virus sigiloso peligroso. Contiene diez macros en un módulo "TJ": AutoOpen, LAYLA, AutoExec, AutoExit, AutoClose, FileClose, ToolsMacro, ToolsCustomize, FileTemplates, ViewVBCode. Infecta el área global de macros al abrir un documento infectado (AutoOpen) e infecta otros documentos al abrir y cerrar (AutoOpen, AutoClose). El virus desactiva la protección de virus de Word (la opción VirusProtection) y elimina el módulo "NewMacros" que contiene macros definidas por el usuario. También desactiva las Herramientas / Macro, Herramientas / Personalizar menús (sigilo). Al abrir el editor de Visual Basic, el virus cierra Word sin guardar los cambios en los documentos. Los días 27 o 29 de cualquier mes en los documentos de cierre, el virus ejecuta su procedimiento de carga útil. Al abrir Word en estos días, el virus muestra en la barra de estado el texto: Excelente dia … para mi … 🙂 El procedimiento de carga útil también se ejecuta en el documento de apertura a los 27 o 29 segundos de minuto. Este procedimiento reemplaza todos los dígitos por el texto "Tj" o "Layla" depende del día del mes. También reemplaza cada noveno personaje del documento por el signo de Aries. Al salir de Word, el virus busca en los subdirectorios de "c:", "c: archivos de programa", "d:" y "e:" para los archivos por comodín "* d * r * w . " (Buscando DrWeb anti -virus) y elimina todos los archivos en los directorios donde se encontraron los archivos adecuados. Luego busca "* a * v * p . " Y elimina los archivos "* .avc" y "* .key" (bases de datos antivirus AVP y archivo de claves). Como resultado de comodines bastante desagradables, el virus puede eliminar muchos otros archivos. El virus también cambia la siguiente información: Nombre de usuario = ""UserInitials = "TJ_LAYLA"UserAddress = ""
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Virus.MSWord.Layla

Detalles técnicos