Virus.MSWord.Layla

Класс Virus
Платформа MSWord
Описание

Technical Details

Очень опасный стелс-вирус. Содержит 10 макросов в одном модуле «TJ»:
AutoOpen, LAYLA, AutoExec, AutoExit, AutoClose, FileClose, ToolsMacro,
ToolsCustomize, FileTemplates, ViewVBCode.

Записывается в системную область макросов при открытии зараженного
документа (AutoOpen). Заражение файлов происходит при их открытии и
закрытии (AutoOpen, AutoClose).

При открытии файла вирус выключает опцию VirusProtection, блокирует вызов
меню Tools/Macro и Tools/Customize (стелс). Вирус также удаляет модуль
«NewMacros» содержащий пользовательские макросы. При открытии редактора
Visual Basic закрывает Word без сохранения открытых документов.

27го и 29го числа при закрытии документа заменяет все цифры в нем на текст
«Tj» (27го) или «Layla» (29го). Также заменяет каждый девятую букву на знак
зодиака «Овен». Те же действия вирус делает в любой день, если при открытии
файла секунды текущего времени равны 27 или 29.

При открытии Word’a 27го и 29го числа показывает в строке состояния текст:


Excellent day… for me… 🙂

При закрытии Word’a вирус ищет в подкаталогах каталогов «c:», «c:program
files», «d:» и «e:» файлы по маске «*d*r*w*.*» (ищет антивирус DrWeb)
При нахождении подходящих файлов удаляет все файлы в каталогах где файлы
были найдены. Из-за довольно «размытой» маски вирус может удалить каталоги
не имеющие никакого отношения к DrWeb, например если найдет документ
DOORWAY.DOC. Кроме того вирус ищет каталог AVP по маске «*a*v*p*» и удаляет
антивирусные базы и ключевой файл AVP.

Вирус меняет информацию о пользователе Word:


Имя = «»
Инициалы = «TJ_LAYLA»
Адрес = «»