Kaspersky Threats — Cap-based

Класс

Платформа

Описание

Technical Details

Зашифрован, написан на базе вируса “Word.Cap”. Содержит 9
макросов: PRiZM, AutoExec, AutoOpen, FileOpen, FileSave, FilePrint,
FileSaveAs, ToolsMacro, FileTemplates.

Размножается при открытии, закрытии документов и при их сохранении на диск.
При печати добавляет в конец документа строку:



Battle of life. Capital!!!

Использует методы “защиты” от эвристических сканеров: часть своего кода
хранит в строковых константах, которые при необходимости конвертируются в
макро-код и выполняются вирусом. Происходит это за несколько приемов с
использованием системного реестра, DDE-команд (Dynamic Data Exchange) и
даже временного EXE-файла.

Необходимые для размножения команды хранятся в виде DDE-инструкций. При
заражении документов вирус записывает их в системный реестр в
“HKEY_CLASSES_ROOT###fileshellopenddeexec” и регистрирует в реестре
расширение “###” таким образом, что в дальнейшем при открытии файлов с этим
расширением срабатывает DDEEXEC. Затем вирус создает во временном каталоге
Windows и запускает на выполнение достаточно короткий EXE-файл (имя файла
выбирается случайно), который создает и открывает файл “PRIZM.###”.
Поскольку расширение ### зарегистрировано вирусом на запуск DDEEXEC,
DDE-команды вируса активизируются, исполняются и переносят основной код
вируса в заражаемый документ.

Узнай статистику распространения угроз в твоем регионе

Класс	Virus
Платформа	MSWord
Описание	Technical Details Зашифрован, написан на базе вируса “Word.Cap”. Содержит 9 макросов: PRiZM, AutoExec, AutoOpen, FileOpen, FileSave, FilePrint, FileSaveAs, ToolsMacro, FileTemplates. Размножается при открытии, закрытии документов и при их сохранении на диск. При печати добавляет в конец документа строку: Battle of life. Capital!!! Использует методы “защиты” от эвристических сканеров: часть своего кода хранит в строковых константах, которые при необходимости конвертируются в макро-код и выполняются вирусом. Происходит это за несколько приемов с использованием системного реестра, DDE-команд (Dynamic Data Exchange) и даже временного EXE-файла. Необходимые для размножения команды хранятся в виде DDE-инструкций. При заражении документов вирус записывает их в системный реестр в “HKEY_CLASSES_ROOT###fileshellopenddeexec” и регистрирует в реестре расширение “###” таким образом, что в дальнейшем при открытии файлов с этим расширением срабатывает DDEEXEC. Затем вирус создает во временном каталоге Windows и запускает на выполнение достаточно короткий EXE-файл (имя файла выбирается случайно), который создает и открывает файл “PRIZM.###”. Поскольку расширение ### зарегистрировано вирусом на запуск DDEEXEC, DDE-команды вируса активизируются, исполняются и переносят основной код вируса в заражаемый документ.
	Узнай статистику распространения угроз в твоем регионе

Virus.MSWord.Cap-based

Technical Details