Virus.MSExcel.Don

Technical Details

Макро-вирус, поражающий файлы Excel. Содержит один модуль (макрос) DON, который содержит автоматически вызываемую процедуру Auto_Open.
Свой основной код (процедуру заражения) содержит в виде зашифрованных строк, которые при необходимости расшифровывает, копирует в файл DON.TXT и
затем из этого файла копирует в область макросов под именем “Replicate”.

После выполнения макроса “Replicate” (т.е. после заражения) вирус удаляет его. При запуске вирус проверяет, каким образом был открыт зараженный файл. Если
он был открыт из Startup директории Excel (т.е. система уже заражена), то на функцию срабатывающую при переходе на новый лист (OnSheetDeactivate) устанавливается основная функция вируса (AutoOpen). Таким образом вирус
заражает Workbook при смене листов. Если зараженный файл открыт не из Startup-директории, вирус создает там зараженный файл с именем <цифры>.DON и заражает таким образом систему.

Вирус легко распознать по наличию файла в каталоге XLSTART с расширением DON, в котором находится “резидентная” часть вируса. Вирус также создает
файл DON2.TXT и записывает в него имя активного Workbook.