ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.MSWord.Prism

Clase Virus
Plataforma MSWord
Descripción

Detalles técnicos

Este es un macro virus de Word encriptado. Contiene nueve macros: PRiZM, AutoExec, AutoOpen, FileOpen, FileSave, FilePrint, FileSaveAs, ToolsMacro y FileTemplates.

Se basa en el virus "Word.Cap" , tiene una estructura e instrucciones similares establecidas. Se replica al abrir, cerrar y guardar documentos.

Al imprimir, el virus agrega una cadena al final del documento que se imprime:


La batalla de la vida. ¡¡¡Capital!!!

El virus tiene un método inusual de infección. Al infectar, el virus realiza varios pasos, usa el registro del sistema y descarta un archivo EXE adicional. La rutina de infección se coloca en el código del virus como un conjunto de cadenas de texto que son instrucciones DDE (intercambio dinámico de datos). Si es necesario, el virus los ejecuta, y estas instrucciones copian el código del virus para orientar los documentos y las plantillas.

Para ejecutar sus instrucciones DDE, el virus los guarda en el registro del sistema en "HKEY_CLASSES_ROOT ### fileshellopenddeexec". Luego, el virus registra una nueva extensión "###" y establece DDEEXEC como controlador de archivos con dicha extensión.

Luego, el virus crea un archivo EXE con un nombre aleatorio en el directorio temporal de Windows y escribe un programa corto en él. Este programa solo crea y abre el archivo "PRiZM. ###". Esta extensión de nombre de archivo está vinculada con DDEEXEC y, como resultado, Windows activa el virus, las instrucciones DDE, las ejecuta y copian el código del virus en un archivo de víctima.


Enlace al original