BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Virus.MSWord.Outlaw

Sınıf Virus
Platform MSWord
Açıklama

Teknik detaylar

Bunlar yarı polimorfik makro virüslerdir – bir dosyaya rastgele seçilen isimlerle üç makrolarını kopyaladıkları sırada, virüslü dosyalarda ve NORMAL.DOT'ta makroların isimleri için sabit bir set yoktur.

Bu yarı-polimorfizmi gerçekleştirmek için virüs, sistem rastgele sayıcı ve zamanlayıcıyı kullanır – makro için yeni ad seçerken, virüs şu andaki saate bağlı olarak ilk harfi ayarlar: 1 – 'A', 2 – 'B', 3 – 'C 've benzeri, ve sonra rasgele seçilen dört rakamı ekler. Sonuç olarak rastgele seçilen isimler şöyle görünür: O8493, O7920, O9259 veya M8064, M8908, M8151.

Bu virüsün diğer sürümü isimleri oluşturmak için başka şemalar kullanabilir, "Outlaw.Goodbye" de makro saatlerini geçerli saate göre başlatır, ancak diğer harf kümesini kullanır: 1 – 'AZ', 2 – 'BY', 3 – 'CX', vb.

Virüste otomatik makrolar bulunmaz ve virüsün makroları tuş vuruşlarıyla atamasını kontrol altına almak için: SPACE tuşu – genel makro alanlarına, 'E' anahtarına neden olan makrolar – geçerli belgeye virüs bulaştıran makrolar.

Geçerli makroyu kopyalamak ve kopya yükünü çalıştırmak için virüs iki yol kullanır. Adlarını bir belgeden almak için virüs, belgede üç değişken oluşturur: VirNameDoc, VirName, VirNamePayload ve virüs bulaşırken geçerli adlar kaydeder. İhtiyaç halinde virüs bu isimleri oradan alır.

NORMAL.DOT (global makrolar alanı) durumunda isimleri almak için virüs, [Intl] bölümündeki Sistem Profili'nde (WIN.INI dosyası) geçerli adları içeren üç kayıt oluşturur, bu dizeler şunlardır:


[Intl]
Ad =
isim2 =
NAME3 =

20 Ocak'ta orijinal "Outlaw" virüsü tetikleme rutini çalıştırıyor. Windows95 altında ve diğer bazı koşullara bağlı olarak virüs bir ses çalar – LAUGH.WAV dosyasını düşürür ve oynatır (bu dosyada kaydedilmiş gülüşler bulunur). Virüs ayrıca mevcut belgeye dizeleri ekler:


Bulaştın
Haydut
Nightmare Joker'den bir virüs
Orijinal "Outlaw" – "Outlaw.b" virüsünün şifrelenmiş bir çeşidi vardır.

"Outlaw.Black", 8 harfli rasgele isimler içeren iki makro içerir (örneğin, DIJRCJCY, DOFYBPIT). Bu virüs mesaj kutusunu görüntüler:


Siyah şövalye

"Outlaw.Goodbye" şifrelenir, artı iki rastgele adlandırılmış makrolara iki "gizli" makro içerir – ToolsMacro ve ExtrasMakro. Araçlar / Makro menüsünü seçerken, virüs "kukla" menülerini gösterir ve Magnum virüsünün yaptığı gibi hata mesajlarını görüntüler.

10 Ekim'de bu virüs düşer ve "VLAD.Goodbye" DOS virüsünü çalıştırır, yeni şablon oluşturur ve metni oraya yazar:


MooNRaiDer Virüsüyle enfekte oldunuz!
Vlad'ın tüm üyelerine selamlar!
Umarım bu son değildir!
Bu çok iyi grup olmadan sahne sıkıcı olurdu!
Kabus Joker

Bu virüs daha sonra SystemProfile bölümünü (WIN.INI dosyası) oluşturur:


[Vlad]
Evet = Hoşçakal


Orijinaline link