Virus.MSWord.Class

Класс Virus
Платформа MSWord
Описание

Technical Details

Полиморфик-стелс-макро-вирус. Содержит 2 макроса в одном модуле
«ThisDocument», макросы имеют различные имена:

Документы         NORMAL.DOT
AutoOpen          AutoClose    - заражение
ViewVBCode        ToolsMacro   - стелс

Заражает систему при открытии зараженного файла, при этом экспортирует свое
код в файл C:CLASS.SYS и вставляет его в NORMAL.DOT макрос. Заражение
документов осуществляется тем же образом при их закрытии.

Полиморфик-механизм вируса заключается в вставке в код вируса строк
комментария, в комментарий включаются: имя пользователя, текущее время и
дате, информациея об активном принтере.

Использует оригинальный прием для скрытия своего кода: при помощи
специальных команд вирус при заражении вставляет свой модуль не в область
макросов документа (как это делают обычные макро-вирусы), а в область так
называемых классов Word — область стандартных процедур обработки событий в
ядре Word. Т.е. вирус записывается не как дополнительная макро-программа, а
как «родная» часть Word, что делает модуль вируса невидимым в Tools/Macro и
File/Templates (зачем тогда вирус перехватывает ToolsMacro — непонятно).

Вирус также выключает опцию VirusProtection, по 31-м числам выводит
MessageBox:

This Is Class
Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х
Х      VicodinES     /CB    /TNN      Х
Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х-Х

Class.d

Вирус изменяет имя пользователя и организации, на которых зарегистрирована
данная копия Windows. Для этого он изменяет в системном реестре значения:

HKLMSoftwareMicrosoftWindowsCurrentVersionRegisteredOwner = «VicodinES /CB /TNN»
RegisteredOrganization = «-(Dr. Diet Mountain Dew)-«

Имя регистрированного пользователя и организации можно найти здесь:

«My Computer» -> Properties -> General: Registered to

По 14-м числам с июня по декабрь вирус выводит на экран сообщение:

Class.Poppy
I think [UserName] is a big stupid jerk!

25

Class.bs

При заражении записывает в системный реестр имя «Clazz» как имя владельца
Windows. При попыте посмотреть код вируса он с вероятностью 25%
устанавливает пароль «Clazz» на активный документ или с той же вероятностью
удаляет все документы из текущего каталога.