Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Зашифрованный макро-вирус. Содержит 4 оригинальных макроса, которые при
заражении документов (при FileSave) и при заражении области глобальных
макросов (AutoOpen) копируются вирусом в 5 макросов:

       Документы  NORMAL.DOT

Macro1 anakAE     AutoExec
Macro2 AutoOpen   anakAO
       anakAO
Macro3 anakSA     FileSave
                  anakSA
Macro4 anakSMU    anakSMU

Вирус устанавливает новый «shortcut key» Shift-Ctrl-F и ассоциирует с ним
меню Tools/Customize, которое затем удаляет. Для того чтобы скрыть макросы
вируса (стелс) удаляются и меню File/Templates и Tools/Macros.
Начиная с 25-го числа ежемесячно, начиная с 14:00 вирус создает новый
темплейт и вставляет в него текст:

...i n t r o d u c i n g...
anakSMU
Semarang, March 1997

Затем вирус регистрирует себя в системе. Для этого он создает файл
ANAKSMU.BAT, записывает в него команды и выполняет их:

@ECHO OFF
REM ---------------------------------------------------------
REM anakSMU wont destroy your REGEDIT, Just wanna be there :)
REM          email: anakSMU@TheOffice.net"
REM ---------------------------------------------------------
ECHO REGEDIT4 > anakSMU.REG
ECHO [HKEY_CURRENT_USERSoftwareanakSMU] >> anakSMU.REG
ECHO [HKEY_CURRENT_USERSoftwareanakSMUanakSMU@TheOffice.net] >> anakSMU.REG
ECHO [HKEY_CURRENT_USERSoftwareanakSMU18.090 - Semarang] >> anakSMU.REG
START /MIN REGEDIT anakSMU.REG
EXIT

Затем вирус выводит MessageBox:

anakSMU
Yeah!, I wish I were anakSMU

Класс	Virus
Платформа	MSWord
Описание	Technical Details Зашифрованный макро-вирус. Содержит 4 оригинальных макроса, которые при заражении документов (при FileSave) и при заражении области глобальных макросов (AutoOpen) копируются вирусом в 5 макросов: Документы NORMAL.DOT Macro1 anakAE AutoExec Macro2 AutoOpen anakAO anakAO Macro3 anakSA FileSave anakSA Macro4 anakSMU anakSMU Вирус устанавливает новый «shortcut key» Shift-Ctrl-F и ассоциирует с ним меню Tools/Customize, которое затем удаляет. Для того чтобы скрыть макросы вируса (стелс) удаляются и меню File/Templates и Tools/Macros. Начиная с 25-го числа ежемесячно, начиная с 14:00 вирус создает новый темплейт и вставляет в него текст: ...i n t r o d u c i n g... anakSMU Semarang, March 1997 Затем вирус регистрирует себя в системе. Для этого он создает файл ANAKSMU.BAT, записывает в него команды и выполняет их: @ECHO OFF REM --------------------------------------------------------- REM anakSMU wont destroy your REGEDIT, Just wanna be there :) REM email: anakSMU@TheOffice.net" REM --------------------------------------------------------- ECHO REGEDIT4 > anakSMU.REG ECHO [HKEY_CURRENT_USERSoftwareanakSMU] >> anakSMU.REG ECHO [HKEY_CURRENT_USERSoftwareanakSMUanakSMU@TheOffice.net] >> anakSMU.REG ECHO [HKEY_CURRENT_USERSoftwareanakSMU18.090 - Semarang] >> anakSMU.REG START /MIN REGEDIT anakSMU.REG EXIT Затем вирус выводит MessageBox: anakSMU Yeah!, I wish I were anakSMU

Virus.MSWord.Anak

Technical Details