Энциклопедия компьютерных вирусов
Macro.Word97.Beast
Вирус в зараженных документах состоит из двух компонент: Word-макроса и исполняемого EXE-файла Windows. Макрос вируса расположен в документе в обычном для макро-вирусов виде и имеет авто-имя "AutoOpen" (т.е. автоматически активизируется при открытии документа). EXE-файл в зараженных документах содержится как объект, вложенный в документ (embedded).
При открытии зараженного документа активизируется вирусный макрос, который открывает вложенный в документ EXE-файл и запускает его на выполнение. Вирус в EXE-файле периодически проверяет MS Word и записывает в редактируемые документы свой авто-макрос и EXE-файл. Все процедуры размножения исполняет EXE-файл, и вирус, таким образом, для своего рапространяется использует документы MS Word только как "носитель" вирусного кода.
При активизации вирусного макроса он также проверяет системный реестр, где вирус регистрирует свои запуски. Если вирус не активен, то макрос записывает на диск и запускает на выполнение файл "I.EXE" - основной модуль вируса. Эта программа ищет в системном каталоге Windows файл с расширением ".DLL" и записывает себя в этот каталог с таким же именем и расширением ".EXE" (например, "IPHLPAPI.EXE"). Вирус записывает в системный реестр команду автозапуска этого EXE-файла при каждой загрузке Windows.
После инсталляции в систему вирусный EXE-файл остается в памяти Windows как "скрытое" приложение и продолжает работать, получая управление по таймеру.
Каждый раз, когда копия вируса в памяти получает управление, она проверяет наличие запущенной копии MS Word. Если приложение MS Word запущено, вирус каждую секунду выполняет следующие действия:
1. Проверяет количество символов в активном документе MS Word. Если в течении тридцати секунд количество символов не изменилось вирус запускает процедуру заражения.
2. закрывает окно редактора Visual Basic, если он открыто.
3. в период с 21:36 до 07:12 открывает и закрывает CD-ROM.
Процедура заражения для доступа к функциям MS Word использует OLE automation. Она проверяет каждый открытый документ в MS Word. Если в документе нет вложенного объекта и если в документе присутствует по крайней мере один макро-модуль, то вирус заражает этот документ. Для этого он вставляет свой исполняемый EXE-файл в документ и добавляет в программный модуль короткий авто-макрос "AutoOpen".
Вирус содержит зашифрованную строку "3BEPb" (по которой он получил свое название). Эта строка также используется вирусом как заголовок окна своего EXE-процесса.
