Virus.MSWord.Xaler.ab

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вредоносная программа, заражающая документы MS Word на компьютере пользователя. Представляет собой документ MS Word, содержащий в своем теле вредоносный макрос. Имеет размер 322048 байт

Заражение файлов

При открытии либо закрытии пользователем зараженного документа вредонос извлекает из своего тела макромодуль "ThisDocument" и сохраняет его в корневом каталоге логического диска С: под следующим именем:

C:\temp.tmp

Далее вирус считывает содержимое из файла-шаблона MS Word - "Normal.dot" и добавляет полученные данные в файл

C:\temp.tmp

Затем считывает из файла "temp.tmp" весь код, который находится после строки:

'RELAX

и переписывает содержимое файла "Normal.dot", добавляя в него свой вредоносный макрос. После этого переписывает свой активный документ. Затем вредонос проверяет атрибуты открытого документа, и если документ не "Скрытый" и "Системный" – устанавливает в "1" значение 862-го байта и удаляет файл:

C:\temp.tmp

В зараженный документ также добавляет следующую информацию:

' Logfile -->

' * DSR & FHS , KGU EMF
' 00:15:54  -  Wednesday, 22.12.1999
' KZ, Kostanai, KGU EMF Applied Mathematics
' <время_и_дата_заражения >
' <имя_пользователя_MS_Word>
' <почтовый_адрес_пользователя>

Деструктивная активность

Далее вирус отключает уведомление о возможности содержания вредоносного кода в документе, изменяет настройки безопасности, разрешая выполнение макросов в открываемых документах, разрешает приложению MS Word сохранять изменения в файле-шаблоне "Normal.dot". Добавляет в системный реестр следующую информацию:

[HKCU\Software\Microsoft\MS Setup (ACME)\User Info]
"LogFile"="True"

Затем вредонос проверяет по строке:

' DSR & FHS , KZ, Kostanai

заражен ли открытый документ или файл-шаблон. После этого создает файл

С:\bootlog<rnd>.sys

где rnd – случайное десятичное число. В данный файл вредонос сохраняет содержимое макроса зараженного файла. Также создает текстовый файл с именем:

C:\netlog.sys

в который записывает следующие строки:

For YOU
SCOOTER
Wellcome to Calipso
FasterHarderScooter
Scooter on the Web: www.scoo***eb.de
Wiritten by FHS & DSR (KZ, Kostanai town, KGU)
This is a simple example
read C:\ bootlog<rnd>.sys

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Завершить работу MS Word.
2. Удалить ключ реестра (как работать с реестром?):

   [HKCU\Software\Microsoft\MS Setup (ACME)\User Info]

3. Удалить файлы:

   C:\netlog.sys
   С:\bootlog.sys
   

4. Восстановить оригинальный файл-шаблон MS Word – "Normal.dot".
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

MD5: 4913a3d7faea301aa83595813ecfe7fb
SDA1: d55b8bc059cbe1e0184d2dd14b7be52db9417c8a