Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Неполиморфный макро-вирус для Word97. Размещается в модуле RedTerrorist.

Содержит семь процедур:

AutoClose
AutoOpen
Delay
FuckThemAll
ToolsCustomize
ToolsMacro
ViewVBCode

Вирус размножается при открытии и закрытии документов Word97.

AutoClose, AutoOpen:

Эти процедуры лишь вызывают основную подпрограмму заражения, содержащуюся в процедуре FuckThemAll.

Delay:

Этот макрос создает паузу перед отображением окна сообщения.

For i = 0 To 19170000
Next

FuckThemAll:

Основная процедура вируса. Проверяет системную переменную «Country» и если та содержит значение «US», запускает командную оболочку:

"c:command.com C echo y | del " + Environ("windir") + "system*.* > nul"

После этого вирус изменяет следующие переменные Word:

.SaveNormalPrompt = False
.VirusProtection = False
.AllowFastSave = True
.BackgroundSave = True

Вирус проверяет активный документ (или файл шаблонов «normal.dot») на наличие модуля «RedTerrorist», и если таковой имеется, повторного заражения документа не происходит.

Если модуль не найден, то вирус создает файл экспорта «user.vxd» в папке «%windir%%temp%» и заражает документ, после чего файл «user.vxd» удаляется.

ToolsCustomize, ToolsMacro, ViewVBCode:

Эти три процедуры используются для сокрытия присутствия вируса в системе. При их запуске они вызывают процедуру Delay и отображают сообщения:

ToolsCustomize:

"Configuration too large for memory"

ToolsMacro:

"Top level process aborted, cannot continue"

ViewVBCode:

"Error in EXE file, program too big to fit in memory"

Класс	Virus
Платформа	MSWord
Описание	Technical Details Неполиморфный макро-вирус для Word97. Размещается в модуле RedTerrorist. Содержит семь процедур: AutoClose AutoOpen Delay FuckThemAll ToolsCustomize ToolsMacro ViewVBCode Вирус размножается при открытии и закрытии документов Word97. AutoClose, AutoOpen: Эти процедуры лишь вызывают основную подпрограмму заражения, содержащуюся в процедуре FuckThemAll. Delay: Этот макрос создает паузу перед отображением окна сообщения. For i = 0 To 19170000 Next FuckThemAll: Основная процедура вируса. Проверяет системную переменную «Country» и если та содержит значение «US», запускает командную оболочку: "c:command.com C echo y \| del " + Environ("windir") + "system. > nul" После этого вирус изменяет следующие переменные Word: .SaveNormalPrompt = False .VirusProtection = False .AllowFastSave = True .BackgroundSave = True Вирус проверяет активный документ (или файл шаблонов «normal.dot») на наличие модуля «RedTerrorist», и если таковой имеется, повторного заражения документа не происходит. Если модуль не найден, то вирус создает файл экспорта «user.vxd» в папке «%windir%%temp%» и заражает документ, после чего файл «user.vxd» удаляется. ToolsCustomize, ToolsMacro, ViewVBCode: Эти три процедуры используются для сокрытия присутствия вируса в системе. При их запуске они вызывают процедуру Delay и отображают сообщения: ToolsCustomize: "Configuration too large for memory" ToolsMacro: "Top level process aborted, cannot continue" ViewVBCode: "Error in EXE file, program too big to fit in memory"

Virus.MSWord.Redter

Technical Details

AutoClose, AutoOpen:

Delay:

FuckThemAll:

ToolsCustomize, ToolsMacro, ViewVBCode: