Virus.MSWord.SuperIIs

Technical Details

Содержит 5 макросов в одном модуле «Modul1»: AutoOpen (в документах) или
AutoClose (в NORMAL.DOT), ViewVbCode, ToolsMacro, Flitnic. Заражает область
глобальных макросов при открытии зараженного документа (AutoOpen).
Заражение файлов происходит при их закрытии (AutoClose).

Размножение происходит путем экспорта/импорта кода вируса через файл
FLITNIC.DRV, который создаются вирусом в системном каталоге Windows. Уже
зараженные файлы вирус детектирует по наличию в их тексте строки
«MYNAME=SUPERIISV1.0».

При попытке просмотреть код макросов при помощи ViewVbCode вирус вызывает
свою стелс-процедуру. При этом копирует зараженный NORMAL.DOT в файл LO.SYS
в системный каталог Windows, затем создает и запускеет командный файл DOS с
именем LO.BAT. Этот файл в цикле ждет момента удаления временного файла
Word (т.е. закрытия текущего документа) и после этого перезаписывает
зараженный NORMAL.DOT из файла LO.SYS. Таким образом вирусу удается
сохранить свою работоспособность даже при удалении его кода из области
глобальных макросов.

Вирус содержит строки-комментарии:

First ever used this kind of Stealth

Written by Flitnic. I haven’t yet included a payload!