Virus.MSWord.Afeto

Technické údaje

Jedná se o červ, který se šíří prostřednictvím e-mailu pomocí aplikace Microsoft Outlook. Tento červa je program Word napsaný v jazyce VBA (makro jazyk pro Microsoft Office).

Když je otevřený infikovaný dokument, makro červi získává kontorl, prohledává všechny lokální jednotky a vyhledá JPG soubor menší než 50 000 bytů. První nalezený soubor je pak vložen do aktivního dokumentu (aktuální infikovaný dokument). Červ potom vytvoří nové zprávy a pošle je. Nové zprávy jsou vytvořeny pro prvních osm zpráv ve složce Odeslané položky MS Outlook. Zprávy jsou vytvářeny podle následujících pravidel:

• jako adresu v poli "Komu:" červa nastaví adresu ze zprávy do složky Odeslané položky
• jako předmět a tělo zprávu, nastaví subjekt a tělo z další zprávy ve složce Odeslané položky
• aktivní aktivní dokument s tělem červa je připojen ke zprávě

Například složka Odeslaná pošta obsahuje následující zprávy:

Zpráva 1

Komu: name1@domen1.com
Předmět: Dobrý den!
Text: Vzpomínáš si na mě?

Zpráva 2

Komu: address2@host2.com
Předmět: Sbohem.
Text: Dnes odcházím …

Zpráva 3

Komu: nick3@server3.com
Předmět: Zprávy.
Text: Skvělá zpráva. …

Odchozí zprávy (ve složce "Outbox") s červem se zobrazí následujícím způsobem:

Zpráva 1

Komu: name1@domen1.com
Předmět: Sbohem.
Text: Dnes odcházím …

Zpráva 2

Komu: address2@host2.com
Předmět: Zprávy.
Text: Skvělá zpráva.

Zpráva 3

Komu: nick3@server3.com atd
…
Připojit: infikovaný dokument

Infikovaný dokument obsahuje soubor JPEG, který byl zvolen červem, a makro-program červa.

Tímto způsobem zasílá červ infikovanou zprávu prvým osmi příjemcům, jejichž adresy byly nalezeny ve složce Odeslané položky. Ale kvůli tomu všechno, v mnoha případech, červ porušuje důvěrnou korespondenci.