Virus.MSWord.Magnum

Класс Virus
Платформа MSWord
Описание

Technical Details

Зашифрован, содержит три макроса: Magnum, ToolsMacro, ExtrasMakro. Вирус не
содержит ни одного авто-макроса и получает управление другим способом — при
заражении документа или области системных макросов объявляет свой макрос
«Magnum» обработчиком нажатия на пробел. MS Word сохраняет такие
переопределения ввода с клавиатуры в документах и в NORMAL.DOT и
восстанавливает их при открытии файла или загрузке NORMAL.DOT.
При загрузке зараженных системных макросов или документов MS Word
автоматически устанавливает реакцию на клавишу пробел на макрос «Magnum», и
вирус в результате получает управление при каждом нажатии на пробел.
После заражения системных макросов вирус выводит MessageBox:

MaGnUm

При помощи макросов ToolsMacro и ExtrasMakro вирус прячет себя в системе —
при попытке обращения к макросам файла вирус самостоятельно выводит на
экран аналог меню Tools/Macro и при выборе любого пункта (кроме CANCEL)
выводит MessageBox:

WordBasic Err = 7
Not enough memory!
WordBasic Err = 7
Nicht gen0gend Arbeitsspeicher!

Вирус заражает систему DOS-вирусом «HLLO.Havoc», для этого использует стандартный прием с утилитой DEBUG — записывает 16-ный дамп вируса на диск
и конвертирует его при помощи DEBUG в выполняемый файл HTC.COM. Затем вирус добавляет в конец файла C:AUTOEXEC.BAT команды:

@echo off
htc.com
cls

и записывает в SystemProfile (файл WIN.INI) текст:

[DosVirus]
Installed=Yes

13-го апреля вирус создает файл NORMAL.DOT и записывает в него текст:

Schon mal im blasen Mondlicht mit dem Teufel getanzt?
;-))
The Magnum Virus!  NJ 1996