Энциклопедия компьютерных вирусов
Заражение Macro -> Macro, Macro -> EXE
В Word-документах вирус состоит из одного макроса AutoClose и, соотвественно, переносит свой код в область глобальных макросов при закрытии зараженного документа. Другие документы заражает также при их закрытии. Для переноса макро-кода вируса используются команды редактирования текста макросов.
Для запуска зараженного EXE-файла из зараженного документа макро-компонента вируса использует стандартный прием. Двоичный EXE-код вируса хранится в макросе в шестнадцатеричном текстовом представлении, которое при запуске макроса сохраняется на диск и конвертируется обратно в двоичный выполняемый EXE-формат при помощи специального DOS BAT-файла и DOS-утилиты DEBUG. Полученный при этом EXE-файл запускается затем на выполнение и, таким образом, активизируется EXE-компонента вируса, которая описанным выше методом ищет и заражает другие EXE-файлы.
В известной версии вируса процедура запуска EXE-файла из макроса содержит ошибку, по причине которой данная версия вируса не в состоянии заражать EXE-файлы из документа.
