Энциклопедия компьютерных вирусов

         

Macro.Word97.Spooky


Состоит из одного авто-макроса Document_Close и заражает систему и документы при их закрытии.

Во время заражения области глобальных макросов (NORMAL.DOT) вирус дописывает к своему коду дополнительную информацию о пользователе: дату и время заражения, имя владельца и его адрес. По 1 числам вирус записывает эту информацию в файл HSF<number>.SYS (где "number" - случайное число), затем этот файл отправляется с помощью FTP клиента под "user anonymous" в каталог incoming на ftp-сервер с адресом 209.201.88.110. Этот адрес, видимо, в дальнейшем используется автором вируса для получения информации о обширности распространения вируса.

Код вируса содержит строки-идентификаторы:

<- this is a marker! Logfile -->



Содержание раздела