IRC-Worm.MSWord.Anumps

Detalhes técnicos

Este worm se espalha através dos canais de IRC e infecta documentos do MS Word. O vírus em si é um documento do Word que contém uma macro chamada Mumps.

Instalação

Quando aberto, o arquivo irá:

• tentativa de desativar o menu Segurança no menu Macro
• desativar a proibição de ativar macros no registro do sistema Windows
• Crie um arquivo chamado Mumps.drv no diretório C: Windows e grave o código da macro nesse arquivo. Este arquivo é então usado para infectar todos os documentos abertos do Word.
• salve o documento ativo no disco rígido com os seguintes nomes:

 C: WindowsFAQ.doc
 C: Arquivos de ProgramasMicrosoft OfficeOfficeSTARTUPMumps.dot 

• começa a propagação via IRC.

Propagação via IRC

O worm modifica um arquivo chamado script.ini. Isso significa que o arquivo C: WindowsFAQ.doc será enviado automaticamente para todos os usuários do canal usado pelo computador infectado.

Sinais de infecção

Quando o usuário tenta abrir o menu HelpAbout, o worm altera a cor do plano de fundo do documento para azul escuro. Cartas aparecerão em branco. Ele também abre notepad.exe exibindo o seguinte texto:

 "O Windows possui poucos recursos de memória. Por favor, reinicie o seu Windows ....." 

Se o usuário tentar imprimir o documento atual e o relógio do sistema estiver exibindo 59 segundos, será exibida uma caixa de mensagem com o seguinte texto:

 "O driver da sua impressora não é compatível com o Windows. Instale outros drivers de impressora." 

Se o usuário tentar visualizar o código das macros ou abrir o menu ToolsMacro, uma caixa de mensagem com o seguinte texto será exibida:

 "Há algo um problema com essa função ..." 

De outros

O worm tenta registrar C: WindowsFAQ.doc no registro do sistema como a assinatura padrão do Microsoft Outlook 5.0. O arquivo será automaticamente adicionado a todas as mensagens de saída.