- Tham gia
- 13/6/06
- Bài viết
- 7,170
- Được thích
- 24,598
I - Thông tin virus
Virus mới có tên X97M/Laroux là loại virus lây lan bằng cách sử dụng bảng tính Microsoft Excel. 'X97M' có nghĩa là các biến thể của virus này sử dụng bảng tính được tạo ra trong Microsoft Office 97 và sau đó.
II - Cách hoạt động
Virus X97M/Laroux đã được khoảng một thời gian dài và bao gồm cả hai virus được tạo ra với Excel 97 và các phiên bản sau này. Virus được tạo ra với phiên bản đầu tiên là Excel 95 và sau đó phát triển và nâng cao dần. Khi mở 1 bảng tính theo cách cũ (như tạo ra trong Microsoft Office 95 và trước đó) với 1 phiên bản mới hơn của Excel (trong Microsoft Office 97 và sau). Các bảng tính khi nhiễm macro, ban đầu được viết trong VBA 3,0 và được tối ưu hóa sang VBA 5/6.
Virus mới sắp tới chuyển đổi cơ bản và cập nhật biến thể Laroux cũ, nó cho phép lây lan bằng cách sử dụng nền tảng mới và giải thích lý do tại sao nhóm virus X97M/Laroux bao gồm cả virus cổ điển cũng như các biến thể mới hơn luôn tăng.
Trong hình thức cổ điển virus X97M/Laroux nằm trong một module với tên "laroux" và có hai macro thực hiện chức năng:
Chức năng 1 là auto_open - thực hiện bất cứ khi nào mở được tập tin bị nhiễm
Chức năng 2 là check_files - thực hiện bất cứ khi nào các vùng được chọn trên bảng tính
Khi thực hiện 2 chức năng trên thì chức năng 1 sẽ chèn vào chức năng 2 để thực hiện khi người dùng lựa chọn bất kỳ bảng tính. Vì chức năng này khi lây nhiễm sẽ bằng cách sao chép các mô - đun để tạo tập tin mới.
Khi mở một bảng tính bị nhiễm, virus này tạo ra một tập tin bị nhiễm được gọi là PERSONAL.XLS Excel trong thư mục Startup (thường nằm ở "% AppData% \ Microsoft \ Excel \ XLSTART"). Sau đó, bất kỳ tập tin mới được mở để bị nhiễm lại. Các biến thể sau đó sẽ thay đổi tên của tập tin được tạo ra trong thư mục Startup Excel với tên của các mô-đun và thậm chí cả tên, số và chức năng của các macro tương tự.
Đây là một số trong những cái tên phổ biến nhất được sử dụng bởi virus khi tạo ra một tập tin mới:
BINV.XLS
BOOK1.XLS
CAR.XLS
CURE.XLS
DIMON.XLS
ECSYSTEM.XLS
KINSLAYER.XLS
NEGS.XLS
NOCAL.XLS
PERSONAL.XLS
PLDT.XLS
PRIVAT.XLS
RESULTS.XLS
SGV.XLS
SING.XLS
STARTUP.XLS
VERA.XLS
WINDOS.XLS
XLSTART.XLS
Đây là một số trong những cái tên phổ biến nhất được sử dụng cho các mô-đun bảng tính:
car
cure
foxz
lalala
laroux
locas
monci
pldt
program
results
sgv
startup
wendy
Đây là một số trong những tên virus thường được sử dụng nhất:
auto_open
check_files
ck_files
scan_files
cop
escape
del
back
III - Thông tin bổ sung
Một số biến thể X97M/Laroux sử dụng một cơ chế ẩn thêm. Những biến thể này sẽ loại bỏ các macro từ các bảng tính khi người dùng cố gắng để xem các macro bằng cách sử dụng Visual Basic cho các ứng dụng hoặc trình đơn Macros (tức là bằng cách gọi các menu thông qua ALT + F11 hoặc Alt + F8 tổ hợp phím). Ví dụ về các biến thể Laroux có chứa chức năng này bao gồm X97M/Laroux.JS và X97M/Laroux.OY.
VI - Cách điều trị
Cần phải hết sức đề cao cảnh rác với các file excel không rõ nguồn gốc và tải trên mạng. Nên quét và diệt virus bằng các phần mềm Antivirus bản quyền.
Đặc biệt là dọn dẹp tàn dư virus này trong thư mục Startup (thường nằm ở "% AppData% \ Microsoft \ Excel \ XLSTART").
Chúc các bạn thành công !!!
Nguồn: http://forum.bkav.com.vn/showthread.php?48583-Virus-Macro-dang-phat-trien-va-nguy-hiem-hon
Lược dịch by Tav4 RCM
Virus mới có tên X97M/Laroux là loại virus lây lan bằng cách sử dụng bảng tính Microsoft Excel. 'X97M' có nghĩa là các biến thể của virus này sử dụng bảng tính được tạo ra trong Microsoft Office 97 và sau đó.
II - Cách hoạt động
Virus X97M/Laroux đã được khoảng một thời gian dài và bao gồm cả hai virus được tạo ra với Excel 97 và các phiên bản sau này. Virus được tạo ra với phiên bản đầu tiên là Excel 95 và sau đó phát triển và nâng cao dần. Khi mở 1 bảng tính theo cách cũ (như tạo ra trong Microsoft Office 95 và trước đó) với 1 phiên bản mới hơn của Excel (trong Microsoft Office 97 và sau). Các bảng tính khi nhiễm macro, ban đầu được viết trong VBA 3,0 và được tối ưu hóa sang VBA 5/6.
Virus mới sắp tới chuyển đổi cơ bản và cập nhật biến thể Laroux cũ, nó cho phép lây lan bằng cách sử dụng nền tảng mới và giải thích lý do tại sao nhóm virus X97M/Laroux bao gồm cả virus cổ điển cũng như các biến thể mới hơn luôn tăng.
Trong hình thức cổ điển virus X97M/Laroux nằm trong một module với tên "laroux" và có hai macro thực hiện chức năng:
Chức năng 1 là auto_open - thực hiện bất cứ khi nào mở được tập tin bị nhiễm
Chức năng 2 là check_files - thực hiện bất cứ khi nào các vùng được chọn trên bảng tính
Khi thực hiện 2 chức năng trên thì chức năng 1 sẽ chèn vào chức năng 2 để thực hiện khi người dùng lựa chọn bất kỳ bảng tính. Vì chức năng này khi lây nhiễm sẽ bằng cách sao chép các mô - đun để tạo tập tin mới.
Khi mở một bảng tính bị nhiễm, virus này tạo ra một tập tin bị nhiễm được gọi là PERSONAL.XLS Excel trong thư mục Startup (thường nằm ở "% AppData% \ Microsoft \ Excel \ XLSTART"). Sau đó, bất kỳ tập tin mới được mở để bị nhiễm lại. Các biến thể sau đó sẽ thay đổi tên của tập tin được tạo ra trong thư mục Startup Excel với tên của các mô-đun và thậm chí cả tên, số và chức năng của các macro tương tự.
Đây là một số trong những cái tên phổ biến nhất được sử dụng bởi virus khi tạo ra một tập tin mới:
BINV.XLS
BOOK1.XLS
CAR.XLS
CURE.XLS
DIMON.XLS
ECSYSTEM.XLS
KINSLAYER.XLS
NEGS.XLS
NOCAL.XLS
PERSONAL.XLS
PLDT.XLS
PRIVAT.XLS
RESULTS.XLS
SGV.XLS
SING.XLS
STARTUP.XLS
VERA.XLS
WINDOS.XLS
XLSTART.XLS
Đây là một số trong những cái tên phổ biến nhất được sử dụng cho các mô-đun bảng tính:
car
cure
foxz
lalala
laroux
locas
monci
pldt
program
results
sgv
startup
wendy
Đây là một số trong những tên virus thường được sử dụng nhất:
auto_open
check_files
ck_files
scan_files
cop
escape
del
back
III - Thông tin bổ sung
Một số biến thể X97M/Laroux sử dụng một cơ chế ẩn thêm. Những biến thể này sẽ loại bỏ các macro từ các bảng tính khi người dùng cố gắng để xem các macro bằng cách sử dụng Visual Basic cho các ứng dụng hoặc trình đơn Macros (tức là bằng cách gọi các menu thông qua ALT + F11 hoặc Alt + F8 tổ hợp phím). Ví dụ về các biến thể Laroux có chứa chức năng này bao gồm X97M/Laroux.JS và X97M/Laroux.OY.
VI - Cách điều trị
Cần phải hết sức đề cao cảnh rác với các file excel không rõ nguồn gốc và tải trên mạng. Nên quét và diệt virus bằng các phần mềm Antivirus bản quyền.
Đặc biệt là dọn dẹp tàn dư virus này trong thư mục Startup (thường nằm ở "% AppData% \ Microsoft \ Excel \ XLSTART").
Chúc các bạn thành công !!!
Nguồn: http://forum.bkav.com.vn/showthread.php?48583-Virus-Macro-dang-phat-trien-va-nguy-hiem-hon
Lược dịch by Tav4 RCM
