AutoOpen
FilePrint
FilePrintDefault
FileSave
FileSaveAs
FileTemplates
HelpAbout
NEWVIR
porc
ToolsMacro
ViewVBCode
C: \ Program Files \ Microsoft Office \ Templates \ Normal.dot
pot fi diferite, în funcție de versiunea sistemului Windows în care a fost instalat software-ul MS Office.
C: \ Documents and Settings \% numele utilizatorului curent% \ Application Data \ Microsoft \ Templates \ Normal.dot
Primul fișier, PCSB.inf. este extras de virusul din corpul său și are o dimensiune de 3076 octeți. Este o componentă a virusului, scrisă sub forma unei secvențe de comenzi logice în limba Microsoft Visual Basic. Acesta conține funcția principală a virusului.
Al doilea fișier, Dte.inf. are o dimensiune de 9 octeți și conține codificat sub forma unui cod digital - data și ora la care virusul a lovit fișierul Normal.dot. În viitor, virusul accesează acest fișier astfel încât, în funcție de ora și data curentă, pot fi efectuate diferite acțiuni rău intenționate.
2. Infecția documentelor.
Virusul infectează fișierele-documente executate în formatele DOC și RTF; fișierele de configurare (fișierele DOT) nu atinge (singura excepție este fișierul de mai sus cu numele Normal.dot).
Când se pornește Word (din nou, procedura de dezactivare a virusului AutoOpen este activată), procedeul de infectare a documentelor nou create și deja existente se efectuează de către virus în conformitate cu următoarea schemă:
- dacă un nou document este creat și populat, atunci opțiunea Salvare este utilizată pentru a salva utilizatorul. atunci documentul este salvat automat sub numele "Document1.doc" în directorul "implicit" - C: \ Documentele mele. În același timp, nu se dă nici o confirmare pentru specificarea căii și a fișierului de pe ecran, iar fișierul se infectează atunci când este închis (procedura FileSave este activată);
- Dacă fișierul deschis este salvat din nou prin opțiunea Salvare ca. atunci când închideți originalul și re-salvați fișierul acestea vor fi infectate ambele (inclus FileSave FileSaveAs și proceduri); - în cazul în care fișierul este salvat sau o restaurare într-un format diferit de DOC (de exemplu, RTF, TXT HTML, etc), virusul salvează încă fișierul în format DOC, precum și numele și extinderea concediului, care a ales (procedura FileTemplates pornit) utilizator. Când închideți fișierul va fi, de asemenea infectat - pentru virusul și păstrează-l într-un document format. Excepția de aici din nou, este un DOT format - după salvarea fișierului nu va fi infectat.
Ca urmare a unor astfel de manipulări, doar fișierele cu extensii DOC, DOT și RTF vor fi citite după salvare; pentru lizibilitatea fișierelor salvate cu alte extensii, cum ar fi, de exemplu, TXT sau HTML, trebuie doar să le înlocuiți extensiile cu DOC;
- dacă documentul are un atribut "numai pentru citire" (numai pentru citire), atunci virusul nu îl poate infecta.
Fiecare document infectează virusul o singură dată, verificând conținutul său (document) pentru propria sa copie (verificarea se face pe trei fragmente ale codului de virus). Când infectează fișiere, mărimea lor crește cu o medie de 16,3 kb.
Virusul își termină lucrarea când Word este închis.
Deconectați ceea ce aveți nevoie.
conservarea corpului, dacă este necesar.
Această procedură este utilizată pentru a crea inițial fișierul C: \ WINDOWS \ PCSB.inf. pe care virusul o poate rescunde în mod repetat.
Dacă șablonul nu este infectat, amintiți-vă data de infecție, dacă este necesar.
Această procedură este utilizată pentru a crea inițial fișierul C: \ WINDOWS \ Dte.inf. Când șablonul de sistem Normal.dot nu este deja infectat; După inserarea virusului în acest fișier, Dte.inf nu este suprascris.
O procedură malware care, totuși, nu funcționează din cauza unei erori în codul virusului. În absența unei erori, ar trebui să apară următoarele: dacă un utilizator lucrează cu documente între orele 18:00 și 08:00, virusul adaugă următorul text la conținutul fiecărui document deschis Word:
Este necesar să lucrați în timpul programului de lucru. BARIK.
Când documentele sunt închise, virusul salvează în mod automat conținutul original împreună cu textul specificat.
Verificați ce aveți nevoie, pentru a nu muri și a se multiplica
Procedura asociată cu verificarea și infectarea documentelor deschise.
În aceste privințe am petrecut foarte mult timp cu programele antivirus
până când adăugați o variabilă pentru înșelăciune
Și spui tsatski-petski
Așteptați o nouă versiune.
Vom mai lupta.
Subrutina virusului cu numele exotic Pig (porc) conține 2 subprograme:
Citirea datei infecției de unde aveți nevoie
Virusul verifică cât timp a trecut de la infectarea sistemului, decriptarea și citirea datelor din fișierul său C: \ WINDOWS \ Dte.inf.
Dacă a trecut o lună de la infectare, activați virusul
După perioada de 30 de zile a virusului complet blochează Word'a: atunci când încearcă să deschidă, să creați și apoi salvați sau documentele de imprimare apela (angajeze proceduri FilePrint FilePrintDefault HelpAbout NEWVIR și de porc ...) Ei (documente) sunt închise în mod automat, și ecranul afișează un mesaj "eroare" fals:
De altfel, acest virus emite același mesaj înainte de sfârșitul perioadei de 30 de zile, în cazul în care utilizatorul încearcă să solicite informații prin submeniu? -> Despre program ....
După cum sa menționat deja mai sus, virusul citește data și ora instalării sale din fișierul C: \ WINDOWS \ Dte.inf. care creează doar o singură dată - inițial, când sistemul este infectat. Acest defect poate fi folosit pentru a debloca Word'a dacă nu aveți un program anti-virus în aparatul dumneavoastră. După ștergerea fișierului Dte.inf. În același timp, excludeți posibilitatea ca virusul să blocheze lucrarea cu documente.
Cuvântul 97 / 2k.Extra - Psyclone X
Primul meu virus pentru anul 2k
Kaspersky Anti-Virus pentru serverele Windows:
în fișierele infectate: Virus.MSWord.Pcsb (tratează fișierele)
în șablonul infectat Normal.dot: în paralel Virus.MSWord.Onex și Virus.MSWord.Pcsb (tratează fișierul)
fișierul PCSB.inf. Virus.MSWord.Pcsb (pentru a fi șters)
BitDefender Professional Antivirus:
în fișierele infectate: W97M.Nid.C (dezinfectează fișierele)
în șablonul infectat Normal.dot: W97M.Nid.C (tratează fișierul)
fișierul PCSB.inf. ignoră codul rău intenționat
Antivirus DrWeb:
în fișierele infectate: W97M.Barik (tratează fișierele)
în șablonul infectat Normal.dot: W97M.Onex (tratează fișierul)
fișierul PCSB.inf. W97M.Barik (va fi eliminat)
Articole similare
-
Ce este și cum să-l repari conține virusi sau în siguranță_9
-
Verificați site-ul pentru viruși - șabloane joomla master, joomla 2
Trimiteți-le prietenilor: