Virus.MSWord.Class

技術的な詳細

このウイルスには、1つのモジュール "ThisDocument"に2つのマクロが含まれていて、マクロにはドキュメントとNORMAL.DOTの名前が異なります。

文書NORMAL.DOT
AutoOpen AutoClose  – 感染およびトリガールーチン
ViewVBCode ToolsMacro  – ステルス、マクロコードの表示を無効にする

ウイルスは、感染した文書を開くと、グローバルマクロ領域に感染します。感染中、ウイルスはC：CLASS.SYSにウイルスコードをエクスポートし、NORMAL.DOTに挿入します。文書は同じ方法で感染します。

ウイルス突然変異（多型）ルーチンは、ユーザー名、現在の日付と時刻、およびアクティブなプリンタに関する情報を含むコメントをウイルスコードに挿入します。

ウイルスはコードを隠すのに効果的な方法を使用します。特別なWordBasic演算子を使用することで、このウイルスは、マクロプログラムの標準領域ではなく、Wordクラス（Wordイベントを処理する標準ルーチン、つまりWordカーネル）の領域にモジュールをインストールします。このウイルスは、ユーザーアプリケーション（マクロプログラム）ではなく、「ネイティブ」Wordコンポーネントとして、ドキュメントやテンプレートにコードを追加します。その結果、ウイルスはツール/マクロとファイル/テンプレートには表示されません（ウイルスが何らかの理由でToolsMacroをフックしますか？）

ウイルスはAutoProtectionを無効にします。 31日、ウイルスはMessageBoxを表示します。

これはクラスです
α-β-β-β-β-β-β-β-β-β-β-β-β-β-β-
？ VicodinES / CB / TNN？
α-β-β-β-β-β-β-β-β-β-β-β-β-β-β-

Class.d

6月から14日にかけて毎月12月にウイルスが次のメッセージを表示します。

Class.Poppy
おもう大きなばかげたばかです！

ウイルスはレジストリキーの値も変更します。

HKLMSoftwareMicrosoftWindowsCurrentVersionRegisteredOwner = "VicodinES / CB / TNN"
RegisteredOrganization = " – （Dr。Diet Mountain Dew） – "

Class.bs

感染すると、このウイルスはこのWindowsコピーの登録された所有者として "Clazz"と書くことによってシステムレジストリを変更します。表示しようとすると、ウイルスは25％の確率でそれをコードし、アクティブな文書の "Clazz"パスワードを設定するか、同じ確率で現在のフォルダ内のすべてのファイルを削除します。