Энциклопедия компьютерных вирусов
Macro.Word97.Layla
Очень опасный стелс-вирус. Содержит 10 макросов в одном модуле "TJ": AutoOpen, LAYLA, AutoExec, AutoExit, AutoClose, FileClose, ToolsMacro, ToolsCustomize, FileTemplates, ViewVBCode.
Записывается в системную область макросов при открытии зараженного документа (AutoOpen). Заражение файлов происходит при их открытии и закрытии (AutoOpen, AutoClose).
При открытии файла вирус выключает опцию VirusProtection, блокирует вызов меню Tools/Macro и Tools/Customize (стелс). Вирус также удаляет модуль "NewMacros" содержащий пользовательские макросы. При открытии редактора Visual Basic закрывает Word без сохранения открытых документов.
27го и 29го числа при закрытии документа заменяет все цифры в нем на текст "Tj" (27го) или "Layla" (29го). Также заменяет каждый девятую букву на знак зодиака "Овен". Те же действия вирус делает в любой день, если при открытии файла секунды текущего времени равны 27 или 29.
При открытии Word'a 27го и 29го числа показывает в строке состояния текст:
Excellent day... for me... :)
При закрытии Word'a вирус ищет в подкаталогах каталогов "c:\", "c:\program files\", "d:\" и "e:\" файлы по маске "*d*r*w*.*" (ищет антивирус DrWeb) При нахождении подходящих файлов удаляет все файлы в каталогах где файлы были найдены. Из-за довольно "размытой" маски вирус может удалить каталоги не имеющие никакого отношения к DrWeb, например если найдет документ DOORWAY.DOC. Кроме того вирус ищет каталог AVP по маске "*a*v*p*" и удаляет антивирусные базы и ключевой файл AVP.
Вирус меняет информацию о пользователе Word:
Имя = "" Инициалы = "TJ_LAYLA" Адрес = ""
