Technical Details
Вирус-червь, распространяющий свои копии через Интернет в виде прикрепленного к письму документа MS Word97, имя документа – SUPPL.DOC.
Червь был разослан в несколько Интернет-конференций в сентябре 1999.
Документ создан русской версией MS Word, что указывает на его
происхождение.
При инсталляции своей копии в систему червь использует метод, не работающий
под WinNT. В результате зараженными могут оказаться только системы под
управлением Win9x.
Через неделю после заражения компьютера червь уничтожает на локальных и
сетевых дисках файлы с расширениями:
DOC XLS TXT RTF DBF ZIP ARJ RAR
Способ уничтожения файлов аналогичен червю
“ZippedFiles”, как результат, испорченные файлы восстановлению не подлежат.
Инсталляция
Зараженный документ SUPPL.DOC содержит всего один макрос Document_Open,
который автоматически исполняется MS Word при открытии документа. Этот
макрос копирует свой документ в системный каталог Windows с именем
ANTHRAX.INI (этот файл затем используется как оригинал при рассылке
зараженных сообщений), затем червь создает на диске свою DLL-компоненту с
именем DLL.TMP. Код этой компоненты хранится в зараженном документе в
упакованном виде и распаковывается через временный файл DLL.LZH.
Затем червь записывает команды переименования в файл WININIT.INI (эти
команды обрабатываются Windows при очередной перезагрузке). Данные команды
переименовывают библиотеку сетевого доступа Windows WSOCK32.DLL в имя
WSOCK33.DLL и замещают WSOCK32.DLL DLL-компонентой червя из файла DLL.TMP.
В результате этого при последующей загрузке Windows активизирует и
использует код червя вместо “настоящей” библиотеки.
Размножение
При инициализации DLL-файла червя происходит перехват всех функций сетевой
библиотеки WSOCK32. При этом червь при вызове любых функций WSOCK32
передает управление на “настоящую” библиотерку (которая грузится из файла
WSOCK33.DLL), а для функций “send” и “connect” вызывает дополнительно свои
обработчики. Эти обработчики перехватывают сообщения, отправляемые с
компьютера, и добавляют к ним Word-компоненту червя с именем SUPPL.DOC
|