Макровирус "Macro.Word. BlackKnight.3680"

Полиморфный неопасный макровирус.

Состоит из 2-х макросов (неавтоматических). Полиморфизм заключается в том, что имена макросов вируса в каждом документе разные - набор из 8 случайных заглавных букв латинского алфавита, формируемых с помощью какого-то дикого алгоритма. Вирус переназначает "горячие" клавиши таким образом, что один макрос вируса выполняется при нажатии пользователем клавиши "e" и инфицирует Word ("Normal.dot"), а другой макрос выполняется при нажатии пользователем клавиши "пробел" и инфицирует документы и шаблоны.

Визуальное проявление вируса - при нажатии на клавишу "e" в строке состояния появляется текст "BlackKnight".

Деструктивных функций не имеет.

Схема его работы

При инфицировании документа вирус преобразует его в шаблон Word-а и переписывает в него свои макросы с новыми именами, которые сохраняются в переменных "VirNameDoc" и "VirName" соответственно (эти переменные хранятся в самом документе).

При инфицировании Word-а вирус переписывает свои макросы с новыми именами в "Normal.dot", а их имена сохраняет в файле "Win.ini" в разделе "Intl" в переменных "Info1" и "Info2" соответственно. Имена макросов необходимы вирусу для своего успешного размножения.

Андрей НЕМЕРА,
ООО "ВирусБлокАда"

ООО "ВирусБлокАда"

Борьба с компьютерными вирусами. Восстановление поврежденной информации. Лицензия №62 Государственного Центра Безопасности Информации на разработку, производство, реализацию, монтаж, наладку, сервисное обслуживание антивирусного комплекса программ.

Голосовой телефон: (017) 2-235-235
VBA BBS: (017) 2-267-086, круглосуточно
E-mail: [email protected]
Fido: 2:450/110

Версия для печатиВерсия для печати

Номер: 

04 за 1998 год

Рубрика: 

Стоп: вирус!
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!