Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Вирус-червь, распространяющийся по IRC-каналам и заражающий документы MS Word. Представляет собой документ MS Word c одним макросом Mumps.

Инсталляция

При открытии зараженного файла вирус производит следующие действия:

Пытается отключить вызов меню «Security» в меню «Macro».
Отключает в системном реестре Windows запрет на исполнение макросов.
Создает в каталоге C:Windows файл Mumps.drv, в который записывает свой макрокод.
В дальнейшем этот файл используется для заражения всех открываемых Word документов.
Сохраняет активный документ на диске с различными именами:

C:WindowsFAQ.doc
C:Program FilesMicrosoft OfficeOfficeSTARTUPMumps.dot
Запускает процедуру размножения через IRC.

Распространение через IRC

Изменяет файл script.ini таким образом, чтобы файл C:WindowsFAQ.doc автоматически рассылался всем пользователям канала, на который осуществляется вход с зараженного компьютера.

Проявление

При попытке открыть пункт меню «HelpAbout» изменяет цвет фона документа на темно синий, букв на белый и открывает Блокнот (notepad.exe), в котором пишет текст:

Windows has low memory resources. Please restart your Windows…..

При попытке распечатать текущий документ и если текущая секунда является 59-ой, выводит Message Box с текстом:

Your printer driver is not compatible with Windows. Please install another printer drivers.

При попытке просмотреть код макроса или просто зайти в пункт меню ToolsMacro, выводит Message Box с текстом:

There is something a trouble with this function…

Прочее

Червь пытается указать в системном реестре файл C:WindowsFAQ.doc в качестве подписи по умолчанию в Microsoft Outlook 5.0 и таким образом автоматически добавляться ко всем отправляемым письмам.

Узнай статистику распространения угроз в твоем регионе

Класс	IRC-Worm
Платформа	MSWord
Описание	Technical Details Вирус-червь, распространяющийся по IRC-каналам и заражающий документы MS Word. Представляет собой документ MS Word c одним макросом Mumps. *Инсталляция* При открытии зараженного файла вирус производит следующие действия: Пытается отключить вызов меню «Security» в меню «Macro». Отключает в системном реестре Windows запрет на исполнение макросов. Создает в каталоге C:Windows файл Mumps.drv, в который записывает свой макрокод. В дальнейшем этот файл используется для заражения всех открываемых Word документов. Сохраняет активный документ на диске с различными именами: C:WindowsFAQ.doc C:Program FilesMicrosoft OfficeOfficeSTARTUPMumps.dot Запускает процедуру размножения через IRC. *Распространение через IRC* Изменяет файл script.ini таким образом, чтобы файл C:WindowsFAQ.doc автоматически рассылался всем пользователям канала, на который осуществляется вход с зараженного компьютера. *Проявление* При попытке открыть пункт меню «HelpAbout» изменяет цвет фона документа на темно синий, букв на белый и открывает Блокнот (notepad.exe), в котором пишет текст: Windows has low memory resources. Please restart your Windows….. При попытке распечатать текущий документ и если текущая секунда является 59-ой, выводит Message Box с текстом: Your printer driver is not compatible with Windows. Please install another printer drivers. При попытке просмотреть код макроса или просто зайти в пункт меню ToolsMacro, выводит Message Box с текстом: There is something a trouble with this function… *Прочее* Червь пытается указать в системном реестре файл C:WindowsFAQ.doc в качестве подписи по умолчанию в Microsoft Outlook 5.0 и таким образом автоматически добавляться ко всем отправляемым письмам.
	Узнай статистику распространения угроз в твоем регионе

IRC-Worm.MSWord.Anumps

Technical Details