Энциклопедия компьютерных вирусов
Heathen
Мультиплатформанный вирус, заражающий документы Word и выполняемые файлы Windows. Существует в трех видах: в зараженных документах Word, как отдельный PE EXE-файл Window, как короткая "стартовая" процедура в файле EXPLORER.EXE.
В EXE-файлах Windows вирус представляет собой вполне "нормальную" Win32-программу, однако по причине ошибок вирус неспособен размножаться под Win98 и WinNT, но только под Win95. Под WinNT вирус не размножается по той причине, что его макро-часть использует два Windows-вызова "Callback" с номерами, которые не поддерживаются WinNT. Под стандартной Win98 вирус "не живет" по той причине, что EXPLORER.EXE этой версии Windows имеет несколько "необычную" ссылку на таблицу Импортов, которую в результате вирус не может обработать при заражении этого файла.
При открытии зараженного Word-документа управление получает вирусный макрос, который записывает в каталог Windows два файла с копиями вируса: зараженный документ и код вируса в виде PE EXE-файла (HEATHEN.VDO и HEATHEN.VDL). Затем вирус модифицирует файл EXPLORER.EXE таким образом, что при каждом старте (т.е. при загрузке Windows) он считывает с диска и активизирует вирусный PE-файл. PE-компонента вируса затем остается в памяти Windows вплоть до выключения компьютера, ищет Word-документы на всех дисках от C: до Z: и переносит в код вируса из зараженного документа, который был создан вирусом в каталоге Windows.
На диске вирус может быть обнаружен только в зараженных документах Word и в трех файлах в каталоге Window - в документе HEATHEN.VDO, в PE-файле HEATHEN.VDL и в EXPLORER.EXE. Вирус не заражает никаких EXE-Файлов Windows кроме EXPLORER.EXE. Вирус также не заражает документы Word способом, используемым большинством макро-вирусов - копированием макросов из зараженного документа в заражаемый при его открытии/закрытии. Вирус попадает в документы только из PE-компоненты вируса, когда она активна в памяти системы.
Вирус имеет достаточно опасное проявление: через полгода после заражения Windows он уничтожает файлы ситсемного реестра: SYSTEM.DAT, USER.DAT, SYSTEM.DA0, USER.DA0.
Вирус содержит зашифрованную строку-копирайт:
WG07 "Heathen" Copyright (C) 1995-1999 by WoodGoblin
