Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Зашифрованный макро-вирус. Содержит 10 макросов: Killer, AutoExec, AutoOpen, DocClose, FileOpen, FileSave, AutoClose, FileSaveAs, ListMacros, ToolsMacro.

Размножается при открытии документов, сохранении и сохранении их с другим именем. Функции размножения находятся в макросе Killer, который другие
макросы вызывают при размножении. Подпрограмма заражения в макросе Killer имеет имя MENTES.

Автор вируса предусмотрел возможность сомоуничтожения вируса: если существует файл «MY.INI», где в секции [Word Info] присутствует строка «Kod=aaa», то вирус не вызывает свои фнукции заражения и удаляет все макросы из NORMAL.DOT.

«Ворует» содержимое документов при их закрытии: записывает имя закрываемого документа, дату, время и его содержимое в файл C:LOGIN.SYS, затем подключает диск \HS_WORKHCOMMONSTUDENTTEMP и записывает туда файл
C:LOGIN.SYS на первый попавшийся логический диск, на который есть возможность записи. При этом файл LOGIN.SYS переименовывается в имя ARCHIVE.A??, где ‘??’ — номер от «10» до «50». Номер сохраняется в файле «PROG.INI» на этом же диске.

При вызове меню List/Macros и Tools/Macro вирус блокирует просмотр макросов (стелс) и выводит MessageBox:

Macro function is not installed.

Узнай статистику распространения угроз в твоем регионе

Класс	Virus
Платформа	MSWord
Описание	Technical Details Зашифрованный макро-вирус. Содержит 10 макросов: Killer, AutoExec, AutoOpen, DocClose, FileOpen, FileSave, AutoClose, FileSaveAs, ListMacros, ToolsMacro. Размножается при открытии документов, сохранении и сохранении их с другим именем. Функции размножения находятся в макросе Killer, который другие макросы вызывают при размножении. Подпрограмма заражения в макросе Killer имеет имя MENTES. Автор вируса предусмотрел возможность сомоуничтожения вируса: если существует файл «MY.INI», где в секции [Word Info] присутствует строка «Kod=aaa», то вирус не вызывает свои фнукции заражения и удаляет все макросы из NORMAL.DOT. «Ворует» содержимое документов при их закрытии: записывает имя закрываемого документа, дату, время и его содержимое в файл C:LOGIN.SYS, затем подключает диск \HS_WORKHCOMMONSTUDENTTEMP и записывает туда файл C:LOGIN.SYS на первый попавшийся логический диск, на который есть возможность записи. При этом файл LOGIN.SYS переименовывается в имя ARCHIVE.A??, где ‘??’ — номер от «10» до «50». Номер сохраняется в файле «PROG.INI» на этом же диске. При вызове меню List/Macros и Tools/Macro вирус блокирует просмотр макросов (стелс) и выводит MessageBox: Macro function is not installed.
	Узнай статистику распространения угроз в твоем регионе

Virus.MSWord.Mentes

Technical Details