Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este virus contiene cinco macros en el módulo "Modul1": AutoOpen (en documentos) o AutoClose (en NORMAL.DOT), ViewVbCode, ToolsMacro, Flitnic. El virus infecta el área global de macros al abrir un documento infectado (AutoOpen) y se copia a sí mismo a otros documentos al cerrarse (AutoClose).

Al infectar, el virus exporta / importa su código a través del archivo FLITNIC.DRV que se crea en el directorio del sistema de Windows. El virus detecta archivos ya infectados por el texto "'MYNAME = SUPERIISV1.0" que se presenta en el código del virus.

Este es el virus de sigilo. Al ver el código de macro mediante la función ViewVbCode, el virus copia el NORMAL.DOT infectado en el directorio de sistema de Windows con el nombre LO.SYS, crea y ejecuta el archivo de proceso por lotes LO.BAT que en bucle supervisa la presencia del archivo temporal de Word, es decir, espera el final de la edición. Este archivo por lotes luego copia un archivo LO.SYS infectado al NORMAL.DOT. Como resultado, el virus puede "sobrevivir" si se elimina su código del área de macros globales.

El virus contiene los comentarios:



Primero usé este tipo de Stealth

Escrito por Flitnic. ¡Todavía no he incluido una carga útil!

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Virus
Plataforma	MSWord
Descripción	Detalles técnicos Este virus contiene cinco macros en el módulo "Modul1": AutoOpen (en documentos) o AutoClose (en NORMAL.DOT), ViewVbCode, ToolsMacro, Flitnic. El virus infecta el área global de macros al abrir un documento infectado (AutoOpen) y se copia a sí mismo a otros documentos al cerrarse (AutoClose). Al infectar, el virus exporta / importa su código a través del archivo FLITNIC.DRV que se crea en el directorio del sistema de Windows. El virus detecta archivos ya infectados por el texto "'MYNAME = SUPERIISV1.0" que se presenta en el código del virus. Este es el virus de sigilo. Al ver el código de macro mediante la función ViewVbCode, el virus copia el NORMAL.DOT infectado en el directorio de sistema de Windows con el nombre LO.SYS, crea y ejecuta el archivo de proceso por lotes LO.BAT que en bucle supervisa la presencia del archivo temporal de Word, es decir, espera el final de la edición. Este archivo por lotes luego copia un archivo LO.SYS infectado al NORMAL.DOT. Como resultado, el virus puede "sobrevivir" si se elimina su código del área de macros globales. El virus contiene los comentarios: Primero usé este tipo de Stealth Escrito por Flitnic. ¡Todavía no he incluido una carga útil!
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Virus.MSWord.SuperIIs

Detalles técnicos