Virus.MSWord.Redter

Класс Virus
Платформа MSWord
Описание

Technical Details

Неполиморфный макро-вирус для Word97. Размещается в модуле RedTerrorist.

Содержит семь процедур:

AutoClose
AutoOpen
Delay
FuckThemAll
ToolsCustomize
ToolsMacro
ViewVBCode

Вирус размножается при открытии и закрытии документов Word97.

AutoClose, AutoOpen:

Эти процедуры лишь вызывают основную подпрограмму заражения, содержащуюся в процедуре FuckThemAll.

Delay:

Этот макрос создает паузу перед отображением окна сообщения.

For i = 0 To 19170000
Next

FuckThemAll:

Основная процедура вируса. Проверяет системную переменную «Country» и если та содержит значение «US», запускает командную оболочку:

"c:command.com C echo y | del " + Environ("windir") + "system*.* > nul"

После этого вирус изменяет следующие переменные Word:

.SaveNormalPrompt = False
.VirusProtection = False
.AllowFastSave = True
.BackgroundSave = True

Вирус проверяет активный документ (или файл шаблонов «normal.dot») на наличие модуля «RedTerrorist», и если таковой имеется, повторного заражения документа не происходит.

Если модуль не найден, то вирус создает файл экспорта «user.vxd» в папке «%windir%%temp%» и заражает документ, после чего файл «user.vxd» удаляется.

ToolsCustomize, ToolsMacro, ViewVBCode:

Эти три процедуры используются для сокрытия присутствия вируса в системе. При их запуске они вызывают процедуру Delay и отображают сообщения:

ToolsCustomize:

"Configuration too large for memory"

ToolsMacro:

"Top level process aborted, cannot continue"

ViewVBCode:

"Error in EXE file, program too big to fit in memory"