Virus.MSWord.Outlaw

技術的な詳細

これらは半多形マクロウイルスです。ファイルを感染させると、ランダムに選択された名前を持つ3つのマクロがコピーされるため、感染ファイルとNORMAL.DOTのマクロ名の固定セットはありません。

この半多形性を実現するために、ウイルスはシステムのランダムカウンタとタイマーを使用します。マクロの新しい名前を選択する際に、ウイルスは現在の時間に応じて名前の最初の文字を設定します：1 – 'A'、2 – 'B'、3 – 'C 'などとし、4つのランダムに選択された数字を追​​加します。その結果、ランダムに選択された名前は、O8493、O7920、O9259、またはM8064、M8908、M8151のようになります。

このウイルスの他のバージョンでは、名前を構築するために他のスキームを使用することがあります。 "Outlaw.Goodbye"は現在の時間に応じてマクロ名を開始しますが、1 – 'AZ'、2 – 'BY' 'CX'など。

ウイルスには自動マクロがなく、制御を得るために、ウイルスはキーストロークでマクロを割り当てます：SPACEキー – グローバルマクロに感染するマクロ、 'E'キー – 現在のドキュメントに感染するマクロ。

コピー中に現在のマクロの名前を取得し、ペイロードマクロを実行するために、ウイルスは2つの方法を使用します。ドキュメントからその名前を取得するために、ウイルスはドキュメント内にVirNameDoc、VirName、VirNamePayloadの3つの変数を作成し、感染中に現在の名前を保存します。必要に応じて、ウイルスはそこからこれらの名前を取得します。

NORMAL.DOT（グローバルマクロ領域）の場合、名前を取得するために、ウイルスは[Intl]セクションのシステムプロファイル（WIN.INIファイル）に現在の名前を含む3つのレコードを作成します。これらの文字列は次のとおりです。

[Intl]名前=Name2 =Name3 =

1月20日にオリジナルの "Outlaw"ウィルスがトリガールーチンを実行します。 Windows95では、いくつかの他の条件に応じて、ウイルスはサウンドを再生します – LAUGH.WAVファイルを落として再生します（このファイルには笑い声が入っています）。ウイルスはまた、現在の文書に文字列を挿入します：

あなたはに感染しています無法者ナイトメアジョーカーからのウイルス

"Outlaw.Black"には、8文字のランダムな名前を持つ2つのマクロが含まれます（たとえば、DIJRCJCY、DOFYBPIT）。このウイルスはメッセージボックスを表示します：

黒騎士

「Outlaw.Goodbye」は暗号化されており、さらに3つのランダムな名前のマ​​クロには、2つの「ステルス」マクロ – ToolsMacroとExtrasMakroが含まれています。ツール/マクロメニューを選択している間、ウィルスは「ダミー」メニューを表示し、 マグナムウィルスと同じ方法でエラーメッセージを表示します。

10月10日、このウイルスはドロップして "VLAD.Goodbye" DOSウイルスを実行し、新しいテンプレートを作成してそこにテキストを書き込みます。

あなたはMooNRaiDerウイルスに感染しています！Vladの全メンバーにご挨拶！私はそれが終わりではないことを願っています！シーンはこの非常に良いグループなしで退屈するだろう！ナイトメアジョーカー

このウイルスは、次にSystemProfileセクション（WIN.INIファイル）を作成します。

[Vlad]さようなら=はい