Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Очень опасный стелс-вирус. Содержит 10 макросов в одном модуле “TJ”:
AutoOpen, LAYLA, AutoExec, AutoExit, AutoClose, FileClose, ToolsMacro,
ToolsCustomize, FileTemplates, ViewVBCode.

Записывается в системную область макросов при открытии зараженного
документа (AutoOpen). Заражение файлов происходит при их открытии и
закрытии (AutoOpen, AutoClose).

При открытии файла вирус выключает опцию VirusProtection, блокирует вызов
меню Tools/Macro и Tools/Customize (стелс). Вирус также удаляет модуль
“NewMacros” содержащий пользовательские макросы. При открытии редактора
Visual Basic закрывает Word без сохранения открытых документов.

27го и 29го числа при закрытии документа заменяет все цифры в нем на текст
“Tj” (27го) или “Layla” (29го). Также заменяет каждый девятую букву на знак
зодиака “Овен”. Те же действия вирус делает в любой день, если при открытии
файла секунды текущего времени равны 27 или 29.

При открытии Word’a 27го и 29го числа показывает в строке состояния текст:



Excellent day… for me… 🙂

При закрытии Word’a вирус ищет в подкаталогах каталогов “c:”, “c:program
files”, “d:” и “e:” файлы по маске “*d*r*w*.*” (ищет антивирус DrWeb)
При нахождении подходящих файлов удаляет все файлы в каталогах где файлы
были найдены. Из-за довольно “размытой” маски вирус может удалить каталоги
не имеющие никакого отношения к DrWeb, например если найдет документ
DOORWAY.DOC. Кроме того вирус ищет каталог AVP по маске “*a*v*p*” и удаляет
антивирусные базы и ключевой файл AVP.

Вирус меняет информацию о пользователе Word:



Имя = “”

Инициалы = “TJ_LAYLA”

Адрес = “”

Узнай статистику распространения угроз в твоем регионе

Класс	Virus
Платформа	MSWord
Описание	Technical Details Очень опасный стелс-вирус. Содержит 10 макросов в одном модуле “TJ”: AutoOpen, LAYLA, AutoExec, AutoExit, AutoClose, FileClose, ToolsMacro, ToolsCustomize, FileTemplates, ViewVBCode. Записывается в системную область макросов при открытии зараженного документа (AutoOpen). Заражение файлов происходит при их открытии и закрытии (AutoOpen, AutoClose). При открытии файла вирус выключает опцию VirusProtection, блокирует вызов меню Tools/Macro и Tools/Customize (стелс). Вирус также удаляет модуль “NewMacros” содержащий пользовательские макросы. При открытии редактора Visual Basic закрывает Word без сохранения открытых документов. 27го и 29го числа при закрытии документа заменяет все цифры в нем на текст “Tj” (27го) или “Layla” (29го). Также заменяет каждый девятую букву на знак зодиака “Овен”. Те же действия вирус делает в любой день, если при открытии файла секунды текущего времени равны 27 или 29. При открытии Word’a 27го и 29го числа показывает в строке состояния текст: Excellent day… for me… 🙂 При закрытии Word’a вирус ищет в подкаталогах каталогов “c:”, “c:program files”, “d:” и “e:” файлы по маске “drw.” (ищет антивирус DrWeb) При нахождении подходящих файлов удаляет все файлы в каталогах где файлы были найдены. Из-за довольно “размытой” маски вирус может удалить каталоги не имеющие никакого отношения к DrWeb, например если найдет документ DOORWAY.DOC. Кроме того вирус ищет каталог AVP по маске “avp*” и удаляет антивирусные базы и ключевой файл AVP. Вирус меняет информацию о пользователе Word: Имя = “” Инициалы = “TJ_LAYLA” Адрес = “”
	Узнай статистику распространения угроз в твоем регионе

Virus.MSWord.Layla

Technical Details