Macro.Word.Anti-IVX


Неопасный макро-вирус. Использует элементы полиморфизма. В зараженных документах состоит из одного макроса AutoOpen, заражающего область глобальных макросов при открытии зараженного документа. В NORMAL.DOT состоит из двух макросов. Первый имеет случайное имя и содержит копию макроса AutoOpen. Второй имеет имя FileSaveAs и при сохранении файла под другим именем записывает в него макрос AutoOpen. Вирус "слегка" полиморфичен - при копировании макроса AutoOpen переименовывает свои внутренние переменные в другие имена, вставляет пустые строки и т.д. При создании макроса FileSaveAs записывает в него команды, которые выбирает из нескольких вариантов, и вставляет случайно выбранные комментарии. При заражении глобальных макросов создает в каталоге зараженного документа (файла-носителя) файл с именем IVX.NOT и записывает в него текст:

IVX detects all macro viruses, past, present, and future.

Дописывает к файлу C:\AUTOEXEC.BAT команду, снимающую атрибут ReadOnly у файла NORMAL.DOT:

@ATTRIB -R WordDirectory\NORMAL.DOT > NUL"



Содержание раздела