Virus.MSVisio.Radiant

Класс Virus
Платформа MSVisio
Описание

Technical Details

Первый известный вирус, который поражает документы и шаблоны Visio (система
построения диаграмм — см. http://www.visio.com). Visio использует
макро-язык VBA (Visual Basic for Application), лицензированный у Microsoft.
Поскольку языки в MS Office и Visio практически идентичны, макро-вирусы
имеют возможность заражать файлы Visio примерно теми же способами, что и
файлы MS Office.

Вирус довольно прост — он содержит всего одну процедуру, связанную с
событием «BeforeDocumentClose», которая автоматически вызывается при
закрытии документов Visio. Когда эта вирусная процедура получает
управление, она перебирает все открытые документы и шаблоны и помещает в
них код вируса.

Следует отметить, что при создании или открытии документа автоматически
открываются шаблоны, использующиеся в документе. Эти шаблоны являются
библиотеками элементов диаграмм, использующимися в Visio. Они хранятся в
каталоге Visio и загружаются при необходимости (например, при создании
новых документов). Если эти шаблоны уже содержат вирус, то код вируса
автоматически активизируется каждый раз при закрытии зараженного шаблона
(т.е. при закрытии документа, в котором этот шаблон используется).

Таким образом, если заражены системные шаблоны Visio, то то все открываемые
или создаваемые документы будет заражены при их закрытии. Эта особенность
Visio дает возможность вирусу быстро распространяться от документа к
документу.

Вирус содержит процедуру, которая выполняется 31-го числа любого месяца.
Она создает файл INDEX.HTM в корневом каталоге диска C: и помещает в него
текст:

       A Multitude of Suns
      Orbit in Empty Space
   They Speak with their light
       to all that is dark.
    To me they remain silent.

  Greets to all the VX Community
        And Radiant Angels

           its......

            Radiant

Код вируса в конце содержит маленький коментарий. Похоже, что в этом
комментарии зашифрована информация об авторе вируса, но метод и ключ
шифровки неизвестны.