Энциклопедия компьютерных вирусов



     Хамон украина и еще. |         

Bandung.Rapi


Является переделкой Bandung. Деструктивная функция по удалению файлов на диске C: закомментирована. Вместо файла C:\PESAN.TXT при запуске Word всегда создается файл C:\BACALH.TXT с другим содержанием:

Assalamualaikum ..., maaf @Rapi.Kom mengganggu anda sebentar. Pesan ini aslinya bernama PESAN.TXT yang muncul di root direktori setelah anda menjalankan Winword 6.0 yang templatenya (normal.dot) telah tertulari macro menjijikkan ini. Macro ini (sebelum @Rapi.Kom modifikasi) berasal dari file data Winword 6.0 (*.doc) yang telah tertular macro ini. Bila file data tersebut di pangggil (Open doc), maka macro secara otomatis menjalankan perintah-perintah macro lain nya, yang antara lain mengcopykan diri ke global template (normal.dot), juga pada tanggal dan jam tertentu akan menghapus semua data di direktori tingkat 1, 2 dan 3 (kecuali Hidden direktori), menjengkelkan bukan ?!. Siapapun pembuatnya pastilah orang yang sirik !, masih banyak perbuatan baik lain yang bisa kita kerjakan. ... Malang, <DATE> @Rapi.Kom"

<DATE> точно соотвествует строке даты в вирусе BANDUNG. Зараженные файлы и NORMAL.DOT содержат разный набор макросов:

Зараженный файл | NORMAL.DOT RpAE | RpAE AutoExec RpFO | RpFO FileOpen RpFS | RpFS FileSave RpTC | RpTC ToolsCustomize RpTM | RpTM ToolsMacro RpFSA | RpFSA FileSaveAs AutoOpen | RpAO

Файлы заражаются при FileOpen, FileSave, FileSaveAs. Причем при заражении при FileOpen выводится Message box со строками: "Thank's for joining with us !", "@Rapi.Kom" Макросы RpTM (ToolsMacro) и RpTC (ToolsCustomize) повреждены и при обращении к меню Tools/Macro и Tools/Customize результат непредсказуем.




Содержание  Назад  Вперед