Класс | Virus |
Платформа | MSWord |
Описание |
Technical DetailsНеполиморфный макро-вирус для Word97. Размещается в модуле RedTerrorist. Содержит семь процедур: AutoClose AutoOpen Delay FuckThemAll ToolsCustomize ToolsMacro ViewVBCode Вирус размножается при открытии и закрытии документов Word97. AutoClose, AutoOpen:Эти процедуры лишь вызывают основную подпрограмму заражения, содержащуюся в процедуре FuckThemAll. Delay:Этот макрос создает паузу перед отображением окна сообщения. For i = 0 To 19170000 Next FuckThemAll:Основная процедура вируса. Проверяет системную переменную “Country” и если та содержит значение “US”, запускает командную оболочку: "c:command.com C echo y | del " + Environ("windir") + "system*.* > nul" После этого вирус изменяет следующие переменные Word: .SaveNormalPrompt = False .VirusProtection = False .AllowFastSave = True .BackgroundSave = True Вирус проверяет активный документ (или файл шаблонов “normal.dot”) на наличие модуля “RedTerrorist”, и если таковой имеется, повторного заражения документа не происходит. Если модуль не найден, то вирус создает файл экспорта “user.vxd” в папке “%windir%%temp%” и заражает документ, после чего файл “user.vxd” удаляется. ToolsCustomize, ToolsMacro, ViewVBCode:Эти три процедуры используются для сокрытия присутствия вируса в системе. При их запуске они вызывают процедуру Delay и отображают сообщения: ToolsCustomize: "Configuration too large for memory" ToolsMacro: "Top level process aborted, cannot continue" ViewVBCode: "Error in EXE file, program too big to fit in memory" |
Узнай статистику распространения угроз в твоем регионе |