Макровирус "Macro.Word.Satanic.53249"

Описываемый вирус состоит из пяти защищённых от редактирования макрокоманд (макросов), которые имеют следующие имена:

"AutoClose"

"AutoNew"

"AutoExit"

"AutoExec"

"AutoOpen"

Макровирус Satanic.53249 инфицирует документы и шаблоны Microsoft Word стандартным образом - переводит документ в формат шаблона и копирует в шаблон свои макросы.

Предположительно данный вирус написан в Германии, так как он убирает из меню немецкой версии Word пункты "Макрокоманда...", "Настройка..." и "Опции...", что делает невозможным работу пользователя с макрокомандами, настройками и опциями Word. Но это не мешает вирусу распространяться и на других языковых версиях Word. Только в этом случае вирус не скрывает пункты меню.

Интересной особенностью данного вируса является то, что он несет в себе обычный файловый вирус, который создается при инфицировании Word. На диске C: в корневом каталоге создаются и выполняются файлы:

"Fun.bat" - запускает "Nc.com".

"Nc.com" - содержит файловый вирус.

При этом макровирус "Satanic.53249" ставит в файле "Win.ini" в разделе "Control" переменную "Installed = YES", которая показывает, запущен ли обычный вирус из файла "Nc.com". Этот обычный вирус при инфицировании компьютера выводит на экран портрет Клаудии Шиффер и текст на смеси немецкого и английского языков:

Das ist ClaudiaSchiffer virus by OS
Sometimes when U stroling down the
Avenue the way U walk it makes men
Thinkof HAVING U when U walking
Down the street everybody stops
& turns 2 stare at U! (IrM)
Hope 2 meet U...somewhere in time

Деструктивные действия вируса. 30 сентября каждого года при работе в среде Microsoft Word при создании нового документа Пользователь обнаружит окно сообщений с текстом

"You're infected with Satanic"

и заголовком

"Nightmare Joker :-)" 

А на следующий день, 1 октября, при закрытии в Word любого документа вирус попытается отформатировать диск C:.

Андрей НЕМЕРА,
Константин ФРАНЦЕВ

ООО "ВирусБлокАда"

Борьба с компьютерными вирусами. Восстановление поврежденной информации. Лицензия №62 Государственного Центра Безопасности Информации на разработку, производство, реализацию, монтаж, наладку, сервисное обслуживание антивирусного комплекса программ.

Голосовой телефон: (017) 2-235-235
VBA BBS: (017) 2-267-086, круглосуточно
E-mail: vba.support@usa.net
Fido: 2:450/110

Версия для печатиВерсия для печати

Номер: 

47 за 1997 год

Рубрика: 

Стоп: вирус!
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!