Энциклопедия компьютерных вирусов
Из документа Word в память Windows
Зараженные документы содержат авто-макрос AutoClose, который срабатывает при закрытии документов и вызывает процедуры вируса. Первым делом вирус проверяет свое наличие в системе: проверяет атрибуты файла C:\FUCK.YOU. «Резидентная» VxD-часть вируса обрабатывает этот вызов соответствующим образом, и вирусный макрос возвращает управление системе.
Если же система не заражена, вирус создает из своих строк-констант образ PE-файла, записывает его на диск со случайно выбранным именем и расширением .WG5 и затем запускает его на выполнение.
PE-дроппер вируса выполняется как приложение Windows и, соответственно, имеет доступ ко всем необходимым функциям Windows. Он ищет установленные в системе VxD-драйвера и заражает их. При поиске вирус считывает имена VxD-драйверов из системного реестра LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\ и заражает те из них, которые обозначены как StaticVxD. Затем вирус обращается к файлу SYSTEM.INI, считывает секцию [386Enh] и заражает драйвера, указанные в строках «Device=», «Mouse=», «Display=».
При заражении вирус достаточно аккуратно разбирает внутренний формат VxD-файлов (формат LE — Linear Executable), ищет «дырку» между секциями файла (между «объектами» в терминах формата LE) и записывается в нее, если таковая обнаружена. В результате при заражении размер файла не увеличивается. Вирус затем модифицирует необходимые поля заголовка VxD-файла: увеличивает размер пораженной секции и корректирует таблицу настроек таким образом, что операционная система при загрузке зараженных VxD-драйверов передает управление на код вируса.
