RSS-каналы
Уровень опасности: 2
Virus.MSPublisher.Avarta.a
| Время детектирования | 10 апр 2006 15:59 MSK |
| Время выпуска обновления | 10 апр 2006 15:59 MSK |
| Описание опубликовано | 13 апр 2006 16:06 MSK |
Технические детали
Это первый известный вирус, заражающий документы MS Publisher (PUB).
Вирус очень прост, использует перезаписывающий метод заражения, написан на Visual Basic for Applications (VBA). В теле вируса содержатся следующие строки:
[TLAHUIZCALPANTECUHTLI]
Dedicated to Tlahuizcalpantecuhtli. He is nice.
But this is only shit... fuqin' publisher's VBA.
Fak u Micro$oft!
(c) A. V., 07D5
Вирус использует весьма грубый метод размножения: ищет документы Publisher и копирует себя поверх их содержимого, тем самым уничтожая его. Место для поиска документов Publisher Avarta извлекает из ключа системного реестра, в котором хранятся пути к последним открытым в Publisher документам.
Вирус также сбрасывает значение уровня защиты макросов в Low — это обычная практика среди макро-вирусов.
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера.
В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:
- при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
- вирус скопировал себя на съёмный носитель или заразил файлы на нем;
- пользователь отослал электронное письмо с зараженным вложением.
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей