Virus.MSWord.Anak

Класс Virus
Платформа MSWord
Описание

Technical Details

Зашифрованный макро-вирус. Содержит 4 оригинальных макроса, которые при
заражении документов (при FileSave) и при заражении области глобальных
макросов (AutoOpen) копируются вирусом в 5 макросов:

       Документы  NORMAL.DOT
Macro1 anakAE     AutoExec
Macro2 AutoOpen   anakAO
       anakAO
Macro3 anakSA     FileSave
                  anakSA
Macro4 anakSMU    anakSMU

Вирус устанавливает новый «shortcut key» Shift-Ctrl-F и ассоциирует с ним
меню Tools/Customize, которое затем удаляет. Для того чтобы скрыть макросы
вируса (стелс) удаляются и меню File/Templates и Tools/Macros.
Начиная с 25-го числа ежемесячно, начиная с 14:00 вирус создает новый
темплейт и вставляет в него текст:

...i n t r o d u c i n g...
anakSMU
Semarang, March 1997

Затем вирус регистрирует себя в системе. Для этого он создает файл
ANAKSMU.BAT, записывает в него команды и выполняет их:

@ECHO OFF
REM ---------------------------------------------------------
REM anakSMU wont destroy your REGEDIT, Just wanna be there :)
REM          email: anakSMU@TheOffice.net"
REM ---------------------------------------------------------
ECHO REGEDIT4 > anakSMU.REG
ECHO [HKEY_CURRENT_USERSoftwareanakSMU] >> anakSMU.REG
ECHO [HKEY_CURRENT_USERSoftwareanakSMUanakSMU@TheOffice.net] >> anakSMU.REG
ECHO [HKEY_CURRENT_USERSoftwareanakSMU18.090 - Semarang] >> anakSMU.REG
START /MIN REGEDIT anakSMU.REG
EXIT

Затем вирус выводит MessageBox:

anakSMU
Yeah!, I wish I were anakSMU