Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Стелс-макро-вирус. Содержит 20 процедур в одном модуле «VrTechnoCode»:
VrInstall, AutoOpen, AutoExec, FileOpen, FileNew, FileNewDefault,
FileSaveAs, FileSave, FileClose, DocClose, ViewVBCode, ToolsMacro,
FileTemplates, ToolsOptions, VrStealth, IsChance, FilePrint,
FilePrintDefault, AddOemInfo, CreateImageScreen.

Записывается в системную область макросов при открытии зараженного
документа. Заражение файлов происходит при их открытии, создании и
сохранении. При закрытии MS Word вирус устанавливает на документ защиту от
изменений (кроме изменений в полях ввода). При открытии документов вирус
снимает эту защиту, а при закрытии устанавливает снова. В результате после
лечения вируса документ остается защищенным от изменений. Эту защиту можно
снять выбрав в меню пункт «Tools/Unprotect» («Сервис/Снять защиту»), пароль
— «Elite».

Вирус выключает опцию VirusProtection (Защита от вирусов). Стелс-процедура
вируса перехватывет и блокирует вызов редактора Visual Basic, диалоговых
окон «Tools/Macro» («Макросы») и «File/Templates» («Шаблоны»). С
вероятностью 20 процентов эта процедура выводит на экран сообщение:



VR Технология v1.0

Word Macro ВИРУС!!!

ДВЮИ МВД РФ  c 1999

Процедура заражения в одном случае из девяти создает в каталоге
«C:WindowsSystem» файл «oeminfo.ini». В этот файл записываются строки:



[General]

Manufacturer=ДВЮИ МВД РФ

Model=MS Word Вирус

[Support Information]

Line1=Компьютер заражен вирусом: VrTechno V1.1

Line2=

Line3=Word Macro Virus

Line4=John Great, ДВЮИ МВД РФ — (C) ‘1999

С вероятностью 5 процентов процедура заражения вставляет в документ
картинку с текстом:



Microsoft Word Macro Virus

VrTechnoCode

— Word 7.0                                        Version 1.1

— Stealth Technology

— Infect Documents and Templates

Copyright by John Great from Russia Far East, Khabarovsk’1999

Вирус сожержит еще одну процедуру которая активизируется при печати и с
вероятностью 20 процентов вместо активного документа выводит на печать
содержимое файла «autoexec.bat».

Код вируса содержит комментарий:



‘——————————————————-‘

‘  VR Технология v1.1 by John Great from Russia (C)’99  ‘

‘——————————————————-‘

Techno.c

«Усовершенствованная» версия вируса. Пароль, устанавливаемый на документы,
заменен на «Mirochka».

Класс	Virus
Платформа	MSWord
Описание	Technical Details Стелс-макро-вирус. Содержит 20 процедур в одном модуле «VrTechnoCode»: VrInstall, AutoOpen, AutoExec, FileOpen, FileNew, FileNewDefault, FileSaveAs, FileSave, FileClose, DocClose, ViewVBCode, ToolsMacro, FileTemplates, ToolsOptions, VrStealth, IsChance, FilePrint, FilePrintDefault, AddOemInfo, CreateImageScreen. Записывается в системную область макросов при открытии зараженного документа. Заражение файлов происходит при их открытии, создании и сохранении. При закрытии MS Word вирус устанавливает на документ защиту от изменений (кроме изменений в полях ввода). При открытии документов вирус снимает эту защиту, а при закрытии устанавливает снова. В результате после лечения вируса документ остается защищенным от изменений. Эту защиту можно снять выбрав в меню пункт «Tools/Unprotect» («Сервис/Снять защиту»), пароль — «Elite». Вирус выключает опцию VirusProtection (Защита от вирусов). Стелс-процедура вируса перехватывет и блокирует вызов редактора Visual Basic, диалоговых окон «Tools/Macro» («Макросы») и «File/Templates» («Шаблоны»). С вероятностью 20 процентов эта процедура выводит на экран сообщение: VR Технология v1.0 Word Macro ВИРУС!!! ДВЮИ МВД РФ c 1999 Процедура заражения в одном случае из девяти создает в каталоге «C:WindowsSystem» файл «oeminfo.ini». В этот файл записываются строки: [General] Manufacturer=ДВЮИ МВД РФ Model=MS Word Вирус [Support Information] Line1=Компьютер заражен вирусом: VrTechno V1.1 Line2= Line3=Word Macro Virus Line4=John Great, ДВЮИ МВД РФ — (C) ‘1999 С вероятностью 5 процентов процедура заражения вставляет в документ картинку с текстом: Microsoft Word Macro Virus VrTechnoCode — Word 7.0 Version 1.1 — Stealth Technology — Infect Documents and Templates Copyright by John Great from Russia Far East, Khabarovsk’1999 Вирус сожержит еще одну процедуру которая активизируется при печати и с вероятностью 20 процентов вместо активного документа выводит на печать содержимое файла «autoexec.bat». Код вируса содержит комментарий: ‘——————————————————-‘ ‘ VR Технология v1.1 by John Great from Russia (C)’99 ‘ ‘——————————————————-‘ Techno.c «Усовершенствованная» версия вируса. Пароль, устанавливаемый на документы, заменен на «Mirochka».

Virus.MSWord.Techno

Technical Details

Techno.c