ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.MSWord.SuperIIs

Clase Virus
Plataforma MSWord
Descripción

Detalles técnicos

Este virus contiene cinco macros en el módulo "Modul1": AutoOpen (en documentos) o AutoClose (en NORMAL.DOT), ViewVbCode, ToolsMacro, Flitnic. El virus infecta el área global de macros al abrir un documento infectado (AutoOpen) y se copia a sí mismo a otros documentos al cerrarse (AutoClose).

Al infectar, el virus exporta / importa su código a través del archivo FLITNIC.DRV que se crea en el directorio del sistema de Windows. El virus detecta archivos ya infectados por el texto "'MYNAME = SUPERIISV1.0" que se presenta en el código del virus.

Este es el virus de sigilo. Al ver el código de macro mediante la función ViewVbCode, el virus copia el NORMAL.DOT infectado en el directorio de sistema de Windows con el nombre LO.SYS, crea y ejecuta el archivo de proceso por lotes LO.BAT que en bucle supervisa la presencia del archivo temporal de Word, es decir, espera el final de la edición. Este archivo por lotes luego copia un archivo LO.SYS infectado al NORMAL.DOT. Como resultado, el virus puede "sobrevivir" si se elimina su código del área de macros globales.

El virus contiene los comentarios:


Primero usé este tipo de Stealth
Escrito por Flitnic. ¡Todavía no he incluido una carga útil!


Enlace al original