Энциклопедия компьютерных вирусов

         

Macro.Word97.SuperIIs


Содержит 5 макросов в одном модуле "Modul1": AutoOpen (в документах) или AutoClose (в NORMAL.DOT), ViewVbCode, ToolsMacro, Flitnic. Заражает область глобальных макросов при открытии зараженного документа (AutoOpen). Заражение файлов происходит при их закрытии (AutoClose).

Размножение происходит путем экспорта/импорта кода вируса через файл FLITNIC.DRV, который создаются вирусом в системном каталоге Windows. Уже зараженные файлы вирус детектирует по наличию в их тексте строки "MYNAME=SUPERIISV1.0".

При попытке просмотреть код макросов при помощи ViewVbCode вирус вызывает свою стелс-процедуру. При этом копирует зараженный NORMAL.DOT в файл LO.SYS в системный каталог Windows, затем создает и запускеет командный файл DOS с именем LO.BAT. Этот файл в цикле ждет момента удаления временного файла Word (т.е. закрытия текущего документа) и после этого перезаписывает зараженный NORMAL.DOT из файла LO.SYS. Таким образом вирусу удается сохранить свою работоспособность даже при удалении его кода из области глобальных макросов.

Вирус содержит строки-комментарии:

First ever used this kind of Stealth Written by Flitnic. I haven't yet included a payload!



Содержание раздела