Энциклопедия компьютерных вирусов
Macro.Excel97.War
Стелс-вирус, заражающий электронные таблицы Excel. Перехватывает событие переключения листов и заражает книги при срабатывании этого события. Создает в каталоге автозапуска Excel зараженный файл ALEVIRUSCS.XLM. Отключает Macro Virus Protection, при этом использует не команду VisualBasic, а запускает скрытую копию MS Word и задает ей на выполнение короткий макрос выключения защиты, после чего эта копия MS Word закрывается.
Вирус расссылает свои копи через электронную почту, для чего использует процедуру, заимствованную из вируса "Macro.Excel97.Papa". В отличие от вируса "Papa" он еще и заражает другие таблицы. Это приводит к тому, что зараженная таблица отсылается вместе с содержащимися в ней данными (возможно конфиденциальными).
Отсылаемое сообщение электронной почты кроме присоединенной таблицы имеет:
Тема письма: Fwd: Millions DEADS!!!
Текст сообщения: Urgent info inside. The III War is Begin!!! Read The Secret's in XLS!
При открытии каждого зараженной таблицы вирус заново создает каталоги:
c:\Arquivos de programas\Microsoft Office\Office\XLINICIO c:\Programs Files\Microsoft Office\Office\XLINICIO
Вирус пытается подменить стартовый скрипт многих популярных клиентов IRC своим скриптом, который отсылает зараженную таблицу (для этого каждая закрываемая таблица сохраняется в каталоге "C:\WINDOWS" с именами WAR3.XLS, SEXO.XLS, FONE.XLS, AVP.XLS, CAIXA.XLS) всем присоединяющимся к каналу IRC.
19го мая вирус выводит на экран окно пощника по офис (office assistent) с сообщением:
Atenзгo: Primeiro Excel97>Email>MIRC> Virus Brasileiro by AlevirusSCS [Brasil]1999! Em Breve Alevirus Excel97 Formula Virus!Mande-me Um EMAIL! fernanda88@hotmail.com
Вирус блокирует редактор Visual Basic, вместо него на экран выводит сообщение:
Este programa executou uma instrucao ilegal por favor feche o Windows e reinicie.
