Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Вирус-червь, распространяющий свои копии через Интернет в виде прикрепленного к письму документа MS Word97, имя документа – SUPPL.DOC.
Червь был разослан в несколько Интернет-конференций в сентябре 1999.
Документ создан русской версией MS Word, что указывает на его
происхождение.

При инсталляции своей копии в систему червь использует метод, не работающий
под WinNT. В результате зараженными могут оказаться только системы под
управлением Win9x.

Через неделю после заражения компьютера червь уничтожает на локальных и
сетевых дисках файлы с расширениями:



DOC XLS TXT RTF DBF ZIP ARJ RAR

Способ уничтожения файлов аналогичен червю
“ZippedFiles”, как результат, испорченные файлы восстановлению не подлежат.

Инсталляция

Зараженный документ SUPPL.DOC содержит всего один макрос Document_Open,
который автоматически исполняется MS Word при открытии документа. Этот
макрос копирует свой документ в системный каталог Windows с именем
ANTHRAX.INI (этот файл затем используется как оригинал при рассылке
зараженных сообщений), затем червь создает на диске свою DLL-компоненту с
именем DLL.TMP. Код этой компоненты хранится в зараженном документе в
упакованном виде и распаковывается через временный файл DLL.LZH.

Затем червь записывает команды переименования в файл WININIT.INI (эти
команды обрабатываются Windows при очередной перезагрузке). Данные команды
переименовывают библиотеку сетевого доступа Windows WSOCK32.DLL в имя
WSOCK33.DLL и замещают WSOCK32.DLL DLL-компонентой червя из файла DLL.TMP.
В результате этого при последующей загрузке Windows активизирует и
использует код червя вместо “настоящей” библиотеки.

Размножение

При инициализации DLL-файла червя происходит перехват всех функций сетевой
библиотеки WSOCK32. При этом червь при вызове любых функций WSOCK32
передает управление на “настоящую” библиотерку (которая грузится из файла
WSOCK33.DLL), а для функций “send” и “connect” вызывает дополнительно свои
обработчики. Эти обработчики перехватывают сообщения, отправляемые с
компьютера, и добавляют к ним Word-компоненту червя с именем SUPPL.DOC

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	Win32
Описание	Technical Details Вирус-червь, распространяющий свои копии через Интернет в виде прикрепленного к письму документа MS Word97, имя документа – SUPPL.DOC. Червь был разослан в несколько Интернет-конференций в сентябре 1999. Документ создан русской версией MS Word, что указывает на его происхождение. При инсталляции своей копии в систему червь использует метод, не работающий под WinNT. В результате зараженными могут оказаться только системы под управлением Win9x. Через неделю после заражения компьютера червь уничтожает на локальных и сетевых дисках файлы с расширениями: DOC XLS TXT RTF DBF ZIP ARJ RAR Способ уничтожения файлов аналогичен червю “ZippedFiles”, как результат, испорченные файлы восстановлению не подлежат. Инсталляция Зараженный документ SUPPL.DOC содержит всего один макрос Document_Open, который автоматически исполняется MS Word при открытии документа. Этот макрос копирует свой документ в системный каталог Windows с именем ANTHRAX.INI (этот файл затем используется как оригинал при рассылке зараженных сообщений), затем червь создает на диске свою DLL-компоненту с именем DLL.TMP. Код этой компоненты хранится в зараженном документе в упакованном виде и распаковывается через временный файл DLL.LZH. Затем червь записывает команды переименования в файл WININIT.INI (эти команды обрабатываются Windows при очередной перезагрузке). Данные команды переименовывают библиотеку сетевого доступа Windows WSOCK32.DLL в имя WSOCK33.DLL и замещают WSOCK32.DLL DLL-компонентой червя из файла DLL.TMP. В результате этого при последующей загрузке Windows активизирует и использует код червя вместо “настоящей” библиотеки. Размножение При инициализации DLL-файла червя происходит перехват всех функций сетевой библиотеки WSOCK32. При этом червь при вызове любых функций WSOCK32 передает управление на “настоящую” библиотерку (которая грузится из файла WSOCK33.DLL), а для функций “send” и “connect” вызывает дополнительно свои обработчики. Эти обработчики перехватывают сообщения, отправляемые с компьютера, и добавляют к ним Word-компоненту червя с именем SUPPL.DOC
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.Win32.Suppl

Technical Details

Инсталляция

Размножение