Virus.MSWord.Class

Teknik detaylar

Bu virüs bir Modülde iki makro içerir, "ThisDocument" ve makrolar belgelerde ve NORMAL.DOT'ta farklı isimlere sahiptir:

Belgeler NORMAL.DOT
AutoOpen AutoClose – enfeksiyon ve tetikleme rutinleri
ViewVBCode ToolsMacro – gizlilik, görüntüleme makro kodunu devre dışı bırakır

Virüs, virüslü bir belgenin açılması üzerine küresel makrolara etki eder. Virüs bulaşırken virüs, C: CLASS.SYS dosyasına virüs kodu verir ve NORMAL.DOT'a ekler. Belgeler aynı şekilde bulaşır.

Virüs mutasyonu (polimorfik) rutin, bir kullanıcı adı, geçerli tarih ve saat ve aktif yazıcı hakkında bilgi içeren virüs koduna yorumlar ekler.

Virüs, kodunu gizlemek için etkili bir yol kullanır. Özel WordBasic operatörlerini kullanarak, virüs, standart makro program alanına değil, Word sınıflarına – yani Word olaylarını, yani Word çekirdeğini işleyen standart rutinler alanına – ekler. Virüs kodunu bir kullanıcı uygulaması (makro program) olarak değil, bir "yerel" Word bileşeni olarak belgeler ve şablonlara ekler. Sonuç olarak, Araçlar / Makro ve Dosya / Şablonlar'da virüs görünmez (hangi sebeple virüs ToolsMacro'ya bağlanır?)

Virüs, AutoProtection'ı devre dışı bırakır. 31'inde, virüs MessageBox'u görüntüler:

Bu sınıf
? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -?
? VicodinES / CB / TNN?
? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -? -?

Class.d

14 Haziran'dan Aralık'a kadar her ay virüs, mesajı görüntüler:

Class.Poppy
bence  büyük aptal bir pislik!

Virüs ayrıca kayıt defteri anahtarlarındaki değerleri de değiştirir:

HKLMSoftwareMicrosoftWindowsCurrentVersionRegisteredOwner = "VicodinES / CB / TNN"
KayıtlıOrganizasyon = "- (Dr. Diyet Dağ Çayı) -"

Class.bs

Enfeksiyon üzerine, bu virüs, bu Windows kopyasının kayıtlı sahibi olarak "Clazz" yazarak sistem kayıt defterini değiştirir. Görüntülemeye çalışırken, virüs bunu% 25 olasılıkla kodlar ve aktif belge için "Clazz" parolasını ayarlar veya aynı olasılıkla geçerli klasördeki tüm dosyaları siler.