Энциклопедия компьютерных вирусов
Вирус в Word-документах
В зараженных документах Word вирус присутствует в виде одного макроса AutoOpen и срабатывает при открытии документов. Этот макрос содержит блок данных, которые являются PE-частью вируса, преобразованной в текстовые строки при помощи UUE-образного алгоритма. При помощи стандартных команд VBA (Visual Basic for Applications) вирус получает доступ к системным функциям Windows, выделяет блок системной памяти, куда записывает свой PE-образ (преобразуя его из текстовых строк обратно в PE-вид) и вызывает его на выполнение.
В этот момент начинает работать процедура инсталляции вируса в систему. После того, как она отработает, вирус освобождает память и макрос вируса заканчивает свою работу.
Вирусный макрос помимо вышесказанного также выключает встроенную в Word защиту от макро-вирусов (Virus Warning). Он также пытается оппределить глобальную системную переменную (mutex) для блокирования своих повторных запусков, однако эта часть кода вируса не работает по причине ошибки, и процедура инсталляции вируса отрабатывает каждый раз при открытии зараженных документов.
