Энциклопедия компьютерных вирусов

         

Macro.Word97.Mutalisk


Полиморфный стелс-макро-вирус. Содержит 10 процедур в модуле "ThisDocument": autoopen, autonew, viewvbcode, toolsmacro, filetemplates и 3 процедуры со случайно сгенерированными именами.

Вирус заражает область глобальных макросов при открытии зараженного документа (AutoOpen). Другие документы заражаются при их открытии и создании. При заражении вирус отключает встроенную защиту от вирусов MS Word (VirusProtection), после чего ищет на диске C: программы-антивирусы AVP, F-PROT95, F-Macro, McAfee Virus Scan, Norton AntiVirus, TBAVW95 и некоторые другие и удаляет их файлы.

Если на компьютере установлен в каталоге "C:\MIRC\" клиент mIRC, вирус сохраняет только что открытый (созданный) документ с именем "C:\MIRC\BACKUP\Y2K.DOC" и удаляет файл SCRIPT.INI (этот файл содержит скрипт, исполнющийся при каждом старте mIRC-клиента). Затем вирус пытается создать новый файл SCRIPT.INI с другим скриптом, но из-за ошибки в коде не может этого сделать.

При открытии документов вирус открывает окно редактора Visual Basic, а при создании документов - закрывает, если оно было открыто. При нажатии клавиш Alt-F11 (вызов редактора Visual Basic) вирус удаляет весь код из первого программного модуля активного документа и первого программного модуля области общих макросов, которые содержат код вируса, и лишь после этого отображает окно редактора Visual Basic.

Полиморфик-генератор вируса при заражении меняет имена некоторых процедур вируса и вставляет случайно сгенерированные комментарии в его код. Из-за ошибки в генераторе код вируса в некоторых случаях получается неработоспособным.



Содержание раздела