Энциклопедия компьютерных вирусов
Заражение документов
При старте Windows95 и загрузке зараженных VxD-драйверов загрузчик вируса считывает свой основной код из файла-носителя (так же, как и при открытии зараженного документа) и выполняет его. При этом вирус перехватывает IFS API и обрабатывает открытие файлов. При открытии файлов с расширением DOC вирус проверяет их внутренний формат, записывает в них свой макрос AutoOpen и дописывает к файлу свой основной код. Документы также конвертируются в темплейты.
При заражении вирус использует собственные подпрограммы обработки формата документов Word. Эти подрограммы способны обработать не все возможные варианты документов, поэтому вирус заражает только документы размера до 800K и только PanEuro Word 6/7.
Поскольку Word не обращает внимания на "оверлей" вируса, то при сохранении на диск зараженного документа он "отрезает" основной код вируса, сохраняя при этом код макроса AutoOpen. Подобные документы в дальнейшем неспособны распространять вирус.
Процедура заражения документов собержит ошибки, в результате чего вирус делает невидимыми уже существующие в документе макросы (если таковые присутствовали). Более того, такие документы могут вызвать ошибки при работе в Word с выводом соответствующего сообщения:
This program has performed illegal operation and will be shut down.
То же самое происходит при попытках удалить макрос AutoOpen средствами Word (Tools/Macro/Delete или Organizer).
