BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Virus.MSOffice.Teocatl

Sınıf Virus
Platform MSOffice
Açıklama

Teknik detaylar

Bu makro-virüs Office97 Word belgeleri ve Excel sayfalarını enfekte eder. İç mekanın ismini almıştır: "teonanacatl". Birkaç MS Office uygulamasını etkileyebilen ikinci bilinen makro virüsüdür ("Access / Word97.Cross" dan sonra).

Virüsün kodu StrangeDays adında bir modülde yerleştirilir ve sekiz işlev içerir:

AutoClose – Word otomatik işlevi, enfeksiyon rutini içerir

AutoOpen – Word otomatik işlevi, VisualBasic kod düzenleyicisini (gizlilik) devre dışı bırakır

AutoExit – Word otomatik işlevi, belgeye bulaşmak için AutoClose'u çağırır

ToolsMacro – makroları görüntülemeyi devre dışı bırakır (gizlilik)

ToolsOptions – makroları görüntülemeyi devre dışı bırakır (gizlilik)

FileTemplates – makroları görüntülemeyi devre dışı bırakır (gizlilik)

ViewVBCode – makroları görüntülemeyi devre dışı bırakır (gizlilik)

Auto_Open – Excel otomatik işlevi, sayfa etkinleştirme yordamını kancalar

Virüs, kodunu "yerel" uygulama (Word-> Word, Excel-> Excel) altında yaydığı gibi, virüs bulaşmış dosyaları başka bir uygulamaya (Word-> Excel ve Excel-> Word) da bırakır. Virüs bulaşmış Word belgelerinde ve Excel sayfalarında, virüs aynı Temel koda sahiptir. Office97'den hem Word hem de Excel altında hiçbir hata olmadan yürütülebilecek şekilde doğru bir şekilde yazılmıştır.

"Yerel" nesnelere (belgeler veya sayfalar) bulaşmak için, virüs Visual Basic işlevlerini içe aktarma / içe aktarma kullanır: virüs, Basic kodunu C: LO.SYS dosyasına verir ve daha sonra virüslü olmayan belgelere (Word altında) ve sayfaları (Excel). Word, diğer belgeleri enfekte etmek için, AutoClose ve AutoExit otomatik işlevlerini durdurur ve kapalı veya Word'den çıkarken gelen belgeleri bozar. Excel durumunda, virüs sayfa etkinleştirme yordamını kancalar, otomatik işlevi Auto_Open, virüs bulaşmış bir sayfa açıldığında bunu yapar.

Başka bir uygulamaya bulaşmak için, virüs, Word ve Excel'in otomatik yükleme özelliği ile başlangıç ​​dizinden şablonlar (Word) ve sayfalar (Excel) yüklemek için bir numara kullanır. Word, Excel'den enfekte etmek için, başlangıç ​​dizininde yeni NORMAL.DOT (Word) ve PERSONAL.XLS (Excel) dosyaları oluşturur.

Bu NORMAL.DOT ve PERSONAL.XLS her ikisi de virüs kendisi değil, virüs yükleyici sadece küçük bir 17 satırlık rutin içerir. Bu yükleyicinin otomatik adı (Excel'de Auto_Close ve Word'de AutoExec) vardır ve Word başlatıldığında, bulaşmış bir NORMAL.DOT veya Excel kapandığı sırada, bulaşmış bir PERSONAL.XLS ile sistem tarafından çalıştırılır. Her iki durumda da, yükleyici, C: LO.SYS dosyasındaki tüm virüs kodunu geçerli nesneye (NORMAL şablonu veya PERSONAL.XLS) okur (içe aktarır) ve sonuç olarak onu enfekte eder. Yükleyici daha sonra bulaşmış sonucu orijinal dosyaya (NORMAL.DOT veya PERSONAL.XLS) kaydeder ve çıkar. Bir sonraki yüklemede, hem Word hem de Excel, NORMAL.DOT ve PERSONAL.XLS'lerini içerideki virüs koduyla yükleyecek ve sonuç olarak virüs yayılmaya devam edecektir.

Virüs gizli ve anti-uyarı yeteneklerine sahiptir: Araçlar / Makro, Araçlar / Seçenekler, Dosya / Şablonlar ve Görünüm / VBCode menü öğelerini devre dışı bırakır, ayrıca VisualBasicEditor ve VirusProtection'u kapatır. Ayrıca sistem kayıt defterindeki VirusProtection talimatlarını değiştirir.

Herhangi bir ayın 26'sında bir MessageBox görüntüler ve geçerli dizindeki tüm dosyaları siler ve MessageBox'taki metin şu şekildedir:

Reptile'den Tuhaf Günler / 29A

Garip günler bizi buldu

Tuhaf günler bizi takip etti

Yok edecekler …


Orijinaline link