Technical Details
Полиморфик-стелс-макро-вирус. Содержит 2 макроса в одном модуле
“ThisDocument”, макросы имеют различные имена:
Документы NORMAL.DOT
AutoOpen AutoClose - заражение
ViewVBCode ToolsMacro - стелс
Заражает систему при открытии зараженного файла, при этом экспортирует свое
код в файл C:CLASS.SYS и вставляет его в NORMAL.DOT макрос. Заражение
документов осуществляется тем же образом при их закрытии.
Полиморфик-механизм вируса заключается в вставке в код вируса строк
комментария, в комментарий включаются: имя пользователя, текущее время и
дате, информациея об активном принтере.
Использует оригинальный прием для скрытия своего кода: при помощи
специальных команд вирус при заражении вставляет свой модуль не в область
макросов документа (как это делают обычные макро-вирусы), а в область так
называемых классов Word – область стандартных процедур обработки событий в
ядре Word. Т.е. вирус записывается не как дополнительная макро-программа, а
как “родная” часть Word, что делает модуль вируса невидимым в Tools/Macro и
File/Templates (зачем тогда вирус перехватывает ToolsMacro – непонятно).
Вирус также выключает опцию VirusProtection, по 31-м числам выводит
MessageBox:
This Is Class
Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х
Х VicodinES /CB /TNN Х
Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х
Class.d
Вирус изменяет имя пользователя и организации, на которых зарегистрирована
данная копия Windows. Для этого он изменяет в системном реестре значения:
HKLMSoftwareMicrosoftWindowsCurrentVersionRegisteredOwner = “VicodinES /CB /TNN”
RegisteredOrganization = “-(Dr. Diet Mountain Dew)-“
Имя регистрированного пользователя и организации можно найти здесь:
“My Computer” -> Properties -> General: Registered to
По 14-м числам с июня по декабрь вирус выводит на экран сообщение:
Class.Poppy
I think [UserName] is a big stupid jerk!

Class.bs
При заражении записывает в системный реестр имя “Clazz” как имя владельца
Windows. При попыте посмотреть код вируса он с вероятностью 25%
устанавливает пароль “Clazz” на активный документ или с той же вероятностью
удаляет все документы из текущего каталога.
|