Энциклопедия компьютерных вирусов
Заражение Exe -> Macro
Процедура переноса вирусного кода из EXE-файла в документы Word получает управление после заражения исполняемых файлов (EXE -> EXE). Вирус использует в ней более сложные приемы, требующие дополнительных временных файлов для хранения "промежуточных" состояний вируса и макро-программ. Всего вирусом создается три основных файла:
FABI.SYS - зараженный файл-пустышка FABI.SRC - исходный текст макро-компоненты вируса и отконвертированный в текст шестнадцатеричный код EXE-вируса из FABI.SYS NORMAL.DOT - шаблон с коротким макросом, догружает основной макро-код вируса из FABI.SRC при старте Word
Вирус создает на диске короткий исполняемый "файл-пустышку" C:\FABI.SYS формата выполняемых файлов Windows32 (PE EXE) и заражает его. Затем вирус создает файл C:\FABI.SCR, в который записывает исходный текст своего макроса. Затем вирус дописывает к нему двоичные данные файла FABI.SYS, отковертированные в текстовый скрипт (этот скрипт при запуске конвертирует эти данные обратно в EXE-файл, см. "Заражение Macro -> EXE").
В завершение вирус инсталлирует зараженный шаблон NORMAL.DOT в один из системных каталогов. Для этого он ищет файл "NORMAL.DOT" в каталогах:
C:\ARQUIV~1/MICROS~?/MODELOS C:\ARCHIV~1/MICROS~?/MODELOS C:\PROGRA~1/MICROS~?/TEMPLA~1
где '?' принимает значения от 1 до 9. Если такой файл обнаружен, он заменяется на другой, хранящийся в теле вируса в упакованном виде (перед записью нового NORMAL.DOT на диск вирус распаковывает его). Шаблон NORMAL.DOT содержит один короткий макрос AutoExec, получающий управление сразу при открытии MS Word. Этот марос импортирует в NORMAL.DOT основной код вируса из C:\FABI.SRC, и вирус, таким образом, внедряется в область глобальных макросов Word - в шаблон NORMAL.DOT.
