Класс | Virus |
Платформа | MSWord |
Описание |
Technical DetailsНеполиморфный макро-вирус для Word97. Размещается в модуле RedTerrorist. Содержит семь процедур: AutoClose AutoOpen Delay FuckThemAll ToolsCustomize ToolsMacro ViewVBCode Вирус размножается при открытии и закрытии документов Word97. AutoClose, AutoOpen:Эти процедуры лишь вызывают основную подпрограмму заражения, содержащуюся в процедуре FuckThemAll. Delay:Этот макрос создает паузу перед отображением окна сообщения. For i = 0 To 19170000 Next FuckThemAll:Основная процедура вируса. Проверяет системную переменную «Country» и если та содержит значение «US», запускает командную оболочку: "c:command.com C echo y | del " + Environ("windir") + "system*.* > nul" После этого вирус изменяет следующие переменные Word: .SaveNormalPrompt = False .VirusProtection = False .AllowFastSave = True .BackgroundSave = True Вирус проверяет активный документ (или файл шаблонов «normal.dot») на наличие модуля «RedTerrorist», и если таковой имеется, повторного заражения документа не происходит. Если модуль не найден, то вирус создает файл экспорта «user.vxd» в папке «%windir%%temp%» и заражает документ, после чего файл «user.vxd» удаляется. ToolsCustomize, ToolsMacro, ViewVBCode:Эти три процедуры используются для сокрытия присутствия вируса в системе. При их запуске они вызывают процедуру Delay и отображают сообщения: ToolsCustomize: "Configuration too large for memory" ToolsMacro: "Top level process aborted, cannot continue" ViewVBCode: "Error in EXE file, program too big to fit in memory" |
Узнай статистику распространения угроз в твоем регионе |