Virus.MSWord.Class

Класс Virus
Платформа MSWord
Описание

Technical Details

Полиморфик-стелс-макро-вирус. Содержит 2 макроса в одном модуле
“ThisDocument”, макросы имеют различные имена:

Документы         NORMAL.DOT
AutoOpen          AutoClose    - заражение
ViewVBCode        ToolsMacro   - стелс

Заражает систему при открытии зараженного файла, при этом экспортирует свое
код в файл C:CLASS.SYS и вставляет его в NORMAL.DOT макрос. Заражение
документов осуществляется тем же образом при их закрытии.

Полиморфик-механизм вируса заключается в вставке в код вируса строк
комментария, в комментарий включаются: имя пользователя, текущее время и
дате, информациея об активном принтере.

Использует оригинальный прием для скрытия своего кода: при помощи
специальных команд вирус при заражении вставляет свой модуль не в область
макросов документа (как это делают обычные макро-вирусы), а в область так
называемых классов Word – область стандартных процедур обработки событий в
ядре Word. Т.е. вирус записывается не как дополнительная макро-программа, а
как “родная” часть Word, что делает модуль вируса невидимым в Tools/Macro и
File/Templates (зачем тогда вирус перехватывает ToolsMacro – непонятно).

Вирус также выключает опцию VirusProtection, по 31-м числам выводит
MessageBox:

This Is Class
Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х
Х      VicodinES     /CB    /TNN      Х
Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х

Class.d

Вирус изменяет имя пользователя и организации, на которых зарегистрирована
данная копия Windows. Для этого он изменяет в системном реестре значения:

HKLMSoftwareMicrosoftWindowsCurrentVersionRegisteredOwner = “VicodinES /CB /TNN”
RegisteredOrganization = “-(Dr. Diet Mountain Dew)-“

Имя регистрированного пользователя и организации можно найти здесь:

“My Computer” -> Properties -> General: Registered to

По 14-м числам с июня по декабрь вирус выводит на экран сообщение:

Class.Poppy
I think [UserName] is a big stupid jerk!

25

Class.bs

При заражении записывает в системный реестр имя “Clazz” как имя владельца
Windows. При попыте посмотреть код вируса он с вероятностью 25%
устанавливает пароль “Clazz” на активный документ или с той же вероятностью
удаляет все документы из текущего каталога.

Узнай статистику распространения угроз в твоем регионе