Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

Tehlikeli bir gizli makro virüsüdür. Bir modülde "TJ" on makro içerir: AutoOpen, LAYLA, AutoExec, AutoExit, AutoClose, FileClose, ToolsMacro, ToolsCustomize, FileTemplates, ViewVBCode.

Virüs bulaşmış bir belgeyi (AutoOpen) açarken global makroları da etkiler ve açılış ve kapanışta diğer belgeleri bozar (AutoOpen, AutoClose).

Virüs, Word virüs korumasını (VirusProtection seçeneği) kapatır ve kullanıcı tanımlı makroları içeren "NewMacros" modülünü siler. Ayrıca Araçlar / Makro, Araçlar / Özelleştir menülerini (gizlilik) devre dışı bırakır. Visual Basic editörünü açarken virüs, belgelerde değişiklik kaydetmeden Word'ü kapatır.

Kapanış belgelerinde herhangi bir ayın 27 veya 29'unda virüs, yük taşıma prosedürünü çalıştırır. Word'de bu günlerde açıldığında virüs, durum çubuğunda metni görüntüler:



Mükemmel gün … benim için … 🙂

Yük yükleme prosedürü, aynı zamanda, belgenin 27. veya 29. saniyede açılmasıyla da gerçekleştirilir. Bu prosedür tüm rakamları "Tj" veya "Layla" metinleriyle değiştirir, ayın gününe göre değişir. Ayrıca Koç işareti ile belgede her 9. karakteri değiştirir.

Word'den çıkarken virüs, "c:", "c: program dosyaları", "d:" ve "e:" alt dizinlerinde "* d * r * w *. *" Şeklinde arama yapar (DrWeb anti -virus) ve uygun dosyaların bulunduğu dizinlerdeki tüm dosyaları siler. Sonra "* a * v * p *. *" Için arama yapar ve "* .avc" ve "* .key" dosyalarını (AVP anti-virüs veritabanları ve anahtar dosyası) siler. Oldukça bozulan joker karakterlerin bir sonucu olarak virüs diğer birçok dosyayı silebilir.

Virüs ayrıca aşağıdaki bilgileri de değiştirir:



KullanıcıAdı = ""

UserInitials = "TJ_LAYLA"

UserAddress = ""

Orijinaline link

Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Sınıf	Virus
Platform	MSWord
Açıklama	Teknik detaylar Tehlikeli bir gizli makro virüsüdür. Bir modülde "TJ" on makro içerir: AutoOpen, LAYLA, AutoExec, AutoExit, AutoClose, FileClose, ToolsMacro, ToolsCustomize, FileTemplates, ViewVBCode. Virüs bulaşmış bir belgeyi (AutoOpen) açarken global makroları da etkiler ve açılış ve kapanışta diğer belgeleri bozar (AutoOpen, AutoClose). Virüs, Word virüs korumasını (VirusProtection seçeneği) kapatır ve kullanıcı tanımlı makroları içeren "NewMacros" modülünü siler. Ayrıca Araçlar / Makro, Araçlar / Özelleştir menülerini (gizlilik) devre dışı bırakır. Visual Basic editörünü açarken virüs, belgelerde değişiklik kaydetmeden Word'ü kapatır. Kapanış belgelerinde herhangi bir ayın 27 veya 29'unda virüs, yük taşıma prosedürünü çalıştırır. Word'de bu günlerde açıldığında virüs, durum çubuğunda metni görüntüler: Mükemmel gün … benim için … 🙂 Yük yükleme prosedürü, aynı zamanda, belgenin 27. veya 29. saniyede açılmasıyla da gerçekleştirilir. Bu prosedür tüm rakamları "Tj" veya "Layla" metinleriyle değiştirir, ayın gününe göre değişir. Ayrıca Koç işareti ile belgede her 9. karakteri değiştirir. Word'den çıkarken virüs, "c:", "c: program dosyaları", "d:" ve "e:" alt dizinlerinde "* d * r * w . " Şeklinde arama yapar (DrWeb anti -virus) ve uygun dosyaların bulunduğu dizinlerdeki tüm dosyaları siler. Sonra "* a * v * p . " Için arama yapar ve "* .avc" ve "* .key" dosyalarını (AVP anti-virüs veritabanları ve anahtar dosyası) siler. Oldukça bozulan joker karakterlerin bir sonucu olarak virüs diğer birçok dosyayı silebilir. Virüs ayrıca aşağıdaki bilgileri de değiştirir: KullanıcıAdı = "" UserInitials = "TJ_LAYLA" UserAddress = ""
	Orijinaline link
	Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Virus.MSWord.Layla

Teknik detaylar