Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Полиморфик-стелс-макро-вирус. Содержит 2 макроса в одном модуле
“ThisDocument”, макросы имеют различные имена:

Документы         NORMAL.DOT
AutoOpen          AutoClose    - заражение
ViewVBCode        ToolsMacro   - стелс

Заражает систему при открытии зараженного файла, при этом экспортирует свое
код в файл C:CLASS.SYS и вставляет его в NORMAL.DOT макрос. Заражение
документов осуществляется тем же образом при их закрытии.

Полиморфик-механизм вируса заключается в вставке в код вируса строк
комментария, в комментарий включаются: имя пользователя, текущее время и
дате, информациея об активном принтере.

Использует оригинальный прием для скрытия своего кода: при помощи
специальных команд вирус при заражении вставляет свой модуль не в область
макросов документа (как это делают обычные макро-вирусы), а в область так
называемых классов Word – область стандартных процедур обработки событий в
ядре Word. Т.е. вирус записывается не как дополнительная макро-программа, а
как “родная” часть Word, что делает модуль вируса невидимым в Tools/Macro и
File/Templates (зачем тогда вирус перехватывает ToolsMacro – непонятно).

Вирус также выключает опцию VirusProtection, по 31-м числам выводит
MessageBox:

This Is Class
Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х
Х      VicodinES     /CB    /TNN      Х
Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х

Class.d

Вирус изменяет имя пользователя и организации, на которых зарегистрирована
данная копия Windows. Для этого он изменяет в системном реестре значения:

HKLMSoftwareMicrosoftWindowsCurrentVersionRegisteredOwner = “VicodinES /CB /TNN”
RegisteredOrganization = “-(Dr. Diet Mountain Dew)-“

Имя регистрированного пользователя и организации можно найти здесь:

“My Computer” -> Properties -> General: Registered to

По 14-м числам с июня по декабрь вирус выводит на экран сообщение:

Class.Poppy
I think [UserName] is a big stupid jerk!

Class.bs

При заражении записывает в системный реестр имя “Clazz” как имя владельца
Windows. При попыте посмотреть код вируса он с вероятностью 25%
устанавливает пароль “Clazz” на активный документ или с той же вероятностью
удаляет все документы из текущего каталога.

Класс	Virus
Платформа	MSWord
Описание	Technical Details Полиморфик-стелс-макро-вирус. Содержит 2 макроса в одном модуле “ThisDocument”, макросы имеют различные имена: Документы NORMAL.DOT AutoOpen AutoClose - заражение ViewVBCode ToolsMacro - стелс Заражает систему при открытии зараженного файла, при этом экспортирует свое код в файл C:CLASS.SYS и вставляет его в NORMAL.DOT макрос. Заражение документов осуществляется тем же образом при их закрытии. Полиморфик-механизм вируса заключается в вставке в код вируса строк комментария, в комментарий включаются: имя пользователя, текущее время и дате, информациея об активном принтере. Использует оригинальный прием для скрытия своего кода: при помощи специальных команд вирус при заражении вставляет свой модуль не в область макросов документа (как это делают обычные макро-вирусы), а в область так называемых классов Word – область стандартных процедур обработки событий в ядре Word. Т.е. вирус записывается не как дополнительная макро-программа, а как “родная” часть Word, что делает модуль вируса невидимым в Tools/Macro и File/Templates (зачем тогда вирус перехватывает ToolsMacro – непонятно). Вирус также выключает опцию VirusProtection, по 31-м числам выводит MessageBox: This Is Class Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х Х VicodinES /CB /TNN Х Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х Class.d Вирус изменяет имя пользователя и организации, на которых зарегистрирована данная копия Windows. Для этого он изменяет в системном реестре значения: HKLMSoftwareMicrosoftWindowsCurrentVersionRegisteredOwner = “VicodinES /CB /TNN” RegisteredOrganization = “-(Dr. Diet Mountain Dew)-“ Имя регистрированного пользователя и организации можно найти здесь: “My Computer” -> Properties -> General: Registered to По 14-м числам с июня по декабрь вирус выводит на экран сообщение: Class.Poppy I think [UserName] is a big stupid jerk! Class.bs При заражении записывает в системный реестр имя “Clazz” как имя владельца Windows. При попыте посмотреть код вируса он с вероятностью 25% устанавливает пароль “Clazz” на активный документ или с той же вероятностью удаляет все документы из текущего каталога.

Virus.MSWord.Class

Technical Details

Class.d

Class.bs