Макровирус "Macro.Word.Outlaw.21410"

Состоит из 3-х (неавтоматических) макросов. Имена своих макросов вирус меняет так, что в каждом инфицированном документе они разные. Каждое имя представляет собой набор из одной случайной заглавной буквы латинского алфавита (которой, кстати, может и не быть) и четырех случайных цифр, формируемых с помощью определенного алгоритма. Вирус переназначает "горячие" клавиши таким образом, что один его макрос выполняется при нажатии пользователем клавиши "пробел" и инфицирует Word (шаблон Normal.dot), а другой макрос выполняется при нажатии пользователем клавиши "e" и инфицирует документы. Любой документ, будь то .TXT, .RTF, .DOC и т.д., который открывается в Word, переводится в формат шаблона Word (.DOT) и сохраняется с прежним расширением.

Вирус активизируется 20 января каждого года и только на Microsoft Word 7.0 (т.е. не Macintosh и не Windows 3.xx). При этом происходит следующая последовательность действий:

  • на диске в каталоге, где находится "Normal.dot", создаются файлы: Laugh.scr, Laugh.com, Laugh.wav, Sounda.bat, Rename.bat
  • в процессе создания этих файлов раздаются 2 звуковых сигнала, как при возникновении какой-нибудь ошибки;
  • Word переводится в полноэкранный режим;
  • на базе "Normal.dot" создается новый шаблон;
  • окно только что созданного шаблона раскрывается на полный экран, и в него выводится текст:

"You are infected with"

"Outlaw"

"A virus from Nightmare Joker"

Все эти действия завершаются злорадным смехом, который воспроизводится из файла Laugh.wav.

 

Так как имена своих макросов необходимы вирусу для своего успешного функционирования, то он сохраняет их. Если вирус инфицировал документ, то имена его макросов хранятся в переменных документа "VirName", "VirNameDoc" и "VirNamePayload". Если же вирус инфицировал "Normal.dot", то имена его макросов хранятся в переменных "Name", "Name2" и "Name3", которые создаются в разделе "Intl" в файле "Win.ini".

Андрей НЕМЕРА, Константин ФРАНЦЕВ,
ООО "ВирусБлокАда"

ООО "ВирусБлокАда"

Борьба с компьютерными вирусами. Восстановление поврежденной информации. Лицензия №62 Государственного Центра Безопасности Информации на разработку, производство, реализацию, монтаж, наладку, сервисное обслуживание антивирусного комплекса программ.

Голосовой телефон: (017) 2-235-235
VBA BBS: (017) 2-267-086, круглосуточно
E-mail: vba.support@usa.net
Fido: 2:450/110

Версия для печатиВерсия для печати

Номер: 

05 за 1998 год

Рубрика: 

Стоп: вирус!
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!