Virus.MSWord.Mercy

Technical Details

Зашифрованный Word-макро-вирус. Содержит 6 макросов в документе: Autoexec,
AutoOpen и 4 со случайно сгенерированными именами. В NORMAL.DOT содержит 8
макросов: AutoClose, ToolsMacro, FileTemplates, Organizer и 4 со случайно
выбранными именами.
Заражают систему при открытии зараженного файла (AutoOpen), а документы при
их закрытии (AutoClose). Имена макросов (случайно сгенерированные) хранит в
переменных документа (в случае зараженного документа) или в файле
конфигурации WIN.INI в разделе [Intl] в строках Here_1, Here_2 и т.д. (в
случае NORMAL.DOT). Опознает себя по строке «I_am_Here» в секции [Intl].
11 числа каждого месяца выдает MessageBox:

Episode 2: TenFaces [the series continue...]
The 10Faces is back! hey AVers the name is 10Faces!!
not Mercy.A -(c)reator of NoMercy-

Содержит закомментированные строки:

Hiya Pyro are you decrypt again !
I don't borrow the code from "Outlaw" anymore
(it's now original)
this random code is smaller than before and better randomize result
Using Simple-Little-Fast -random generator
Thankz to ya Pyro without your critics this never happen