Virus.Win32.Jlok

Technical Details

Программа-вирус, заражающая документы Microsoft Word. Написана на Delphi 6.0. Размер программы — 55296 байт.

Инсталляция

Копирует себя в системную директорию под именами ntldrt.exe и shellbit32.exe. Файлы имеют атрибуты «скрытый» и «системный».

Создает следующие ключи реестра для автозагрузки при старте Windows:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
 "shell32"="ntldrt.exe"

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
 "sysclx"="ntldrt.exe"

Вредоносные действия

Ищет на жестком и гибком дисках файлы с расширением «doc», переименовывает их в «exe» и инфицирует. Метод заражения — дописывание себя перед началом doc-файла; заголовок документа при этом шифруется. При запуске зараженного файла первым отрабатывает вирус, который затем запускает оригинальный doc-файл, расшифровав его заголовок.

Признаки присутствия в системе

• наличие мьютекса с именем «mylove»;
• превращение документов MSWord в исполняемые «приложения»;
• увеличение их размера на 55296 байт.