Virus.MSWord.Pcsb

Technical Details

Макро-вирус, заражающий файл шаблонов normal.dot и документы MS Word. Состоит из одного макроса NEWVIR.

Содержит текстовые строки:

Поздравляю, если Вы здесь,
значит еще что-то можете,
так что дерзайте, Вас оценили …
С уважением АВТОР

При открытии зараженного файла или шаблона, вирус создает в каталоге C:Windows свой экспортный файл PCSB.inf, в который сохраняет код макроса. Там же вирус создает файл Dte.inf в который сохраняет дату первого заражения файла шаблона normal.dot на данном компьютере.

Вирус отключает встроенную в Word защиту от исполнения макросов. Далее вирус импортирует свой макрокод в normal.dot.

Все открываемые документы заражаются при их сохранении, печати или попытке просмотра макросов через меню ToolsMacro.

Вирус не проверяет наличия своего макроса в заражаемом документе и способен многократно заражать один и тот же файл.

При попытке открытия пункта меню HelpAbout вирус выводит сообщение с текстом:

Программа выполнила недопустимую функцию, документ вызвавший збой системы будет закрыт.
Если эта ошибка будет возникать в дальнейшем, обратитесь к разработчику.

И закрывает открытый документ.

Если с момента первого заражения шаблона normal.dot прошло 30 дней, вирус начинает проверять системное время и если оно находится в промежутке с 18:00 до 8:00, выводит на экран вышеописанное сообщение и закрывает документ.