Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Полиморфик-стелс-макро-вирус. Содержит 2 макроса в одном модуле
«ThisDocument», макросы имеют различные имена:

Документы         NORMAL.DOT
AutoOpen          AutoClose    - заражение
ViewVBCode        ToolsMacro   - стелс

Заражает систему при открытии зараженного файла, при этом экспортирует свое
код в файл C:CLASS.SYS и вставляет его в NORMAL.DOT макрос. Заражение
документов осуществляется тем же образом при их закрытии.

Полиморфик-механизм вируса заключается в вставке в код вируса строк
комментария, в комментарий включаются: имя пользователя, текущее время и
дате, информациея об активном принтере.

Использует оригинальный прием для скрытия своего кода: при помощи
специальных команд вирус при заражении вставляет свой модуль не в область
макросов документа (как это делают обычные макро-вирусы), а в область так
называемых классов Word — область стандартных процедур обработки событий в
ядре Word. Т.е. вирус записывается не как дополнительная макро-программа, а
как «родная» часть Word, что делает модуль вируса невидимым в Tools/Macro и
File/Templates (зачем тогда вирус перехватывает ToolsMacro — непонятно).

Вирус также выключает опцию VirusProtection, по 31-м числам выводит
MessageBox:

This Is Class
Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х
Х      VicodinES     /CB    /TNN      Х
Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х

Class.d

Вирус изменяет имя пользователя и организации, на которых зарегистрирована
данная копия Windows. Для этого он изменяет в системном реестре значения:

HKLMSoftwareMicrosoftWindowsCurrentVersionRegisteredOwner = «VicodinES /CB /TNN»
RegisteredOrganization = «-(Dr. Diet Mountain Dew)-«

Имя регистрированного пользователя и организации можно найти здесь:

«My Computer» -> Properties -> General: Registered to

По 14-м числам с июня по декабрь вирус выводит на экран сообщение:

Class.Poppy
I think [UserName] is a big stupid jerk!

Class.bs

При заражении записывает в системный реестр имя «Clazz» как имя владельца
Windows. При попыте посмотреть код вируса он с вероятностью 25%
устанавливает пароль «Clazz» на активный документ или с той же вероятностью
удаляет все документы из текущего каталога.

Класс	Virus
Платформа	MSWord
Описание	Technical Details Полиморфик-стелс-макро-вирус. Содержит 2 макроса в одном модуле «ThisDocument», макросы имеют различные имена: Документы NORMAL.DOT AutoOpen AutoClose - заражение ViewVBCode ToolsMacro - стелс Заражает систему при открытии зараженного файла, при этом экспортирует свое код в файл C:CLASS.SYS и вставляет его в NORMAL.DOT макрос. Заражение документов осуществляется тем же образом при их закрытии. Полиморфик-механизм вируса заключается в вставке в код вируса строк комментария, в комментарий включаются: имя пользователя, текущее время и дате, информациея об активном принтере. Использует оригинальный прием для скрытия своего кода: при помощи специальных команд вирус при заражении вставляет свой модуль не в область макросов документа (как это делают обычные макро-вирусы), а в область так называемых классов Word — область стандартных процедур обработки событий в ядре Word. Т.е. вирус записывается не как дополнительная макро-программа, а как «родная» часть Word, что делает модуль вируса невидимым в Tools/Macro и File/Templates (зачем тогда вирус перехватывает ToolsMacro — непонятно). Вирус также выключает опцию VirusProtection, по 31-м числам выводит MessageBox: This Is Class Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х Х VicodinES /CB /TNN Х Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х Class.d Вирус изменяет имя пользователя и организации, на которых зарегистрирована данная копия Windows. Для этого он изменяет в системном реестре значения: HKLMSoftwareMicrosoftWindowsCurrentVersionRegisteredOwner = «VicodinES /CB /TNN» RegisteredOrganization = «-(Dr. Diet Mountain Dew)-« Имя регистрированного пользователя и организации можно найти здесь: «My Computer» -> Properties -> General: Registered to По 14-м числам с июня по декабрь вирус выводит на экран сообщение: Class.Poppy I think [UserName] is a big stupid jerk! Class.bs При заражении записывает в системный реестр имя «Clazz» как имя владельца Windows. При попыте посмотреть код вируса он с вероятностью 25% устанавливает пароль «Clazz» на активный документ или с той же вероятностью удаляет все документы из текущего каталога.

Virus.MSWord.Class

Technical Details

Class.d

Class.bs