DAXA-vírusok
AutoOpen
FilePrint
FilePrintDefault
FileSave
FileSaveAs
FileTemplates
HelpAbout
NEWVIR
disznó
Makro
ViewVBCode
C: \ Program Files \ Microsoft Office \ Templates \ Normal.dot
Lehet más, mert ez függ a változat a Windows-rendszer, amely a telepített MS Office.
C: \ Documents and Settings \% aktuális felhasználó neve% \ Application Data \ Microsoft \ Templates \ Normal.dot
Az első fájl PCSB.inf. kivont a testét, és a vírus mérete 3076 bájt. Egyik összetevője a vírus, rögzítésre sorozata logikai utasításokat a nyelvet a Microsoft Visual Basic. Ez tartalmazza az alapvető funkciókat a vírus.
A második fájl Dte.inf. Ez a mérete 9 bájt, és tartalmazza a titkosított kód formájában digitális adatok - dátum és időpont, amikor a vírus ütött Normal.dot fájlt. Ezt követően a vírus utal a fájl, így attól függően, az aktuális dátum és idő elvégzésére különféle rosszindulatú tevékenységek.
2. Fertőzés dokumentumokat.
A vírus megfertőzi fájlok okiratok DOC és RTF formátumban; konfigurációs fájlok (DOT-fájlok) ne érjen (az egyetlen kivétel a fent említett nevű fájlt Normal.dot).
Amikor elkezdi Word'a (vírus AutoOpen eljárást újra bekapcsol) fertőzés kezelésére újonnan létrehozott és a meglévő vírus megnyitott dokumentumok elő az alábbiak szerint:
- Ha létre, és tele az új dokumentumot, majd mentse a felhasználó a Mentés opciót. A dokumentum automatikusan mentésre néven „Dokument1.doc” a könyvtár „default” - C: \ My Documents. Ebben az esetben nincs bizonyíték, hogy adja meg az utat és a fájl nevét a képernyőn nem adható ki, és a fájl fertőzött, amikor zárva van (engedélyezve FileSave eljárás);
- Ha a megnyitott fájl keresztül visszaállítási lehetőség Mentés másként. Ha becsukja az eredeti, és újra menteni a fájlt, ezek mind fertőzött (benne FileSave FileSaveAs és eljárások); - ha a fájl mentése vagy helyreállítása eltérő formátumban a DOC (pl RTF, TXT HTML, stb), a vírus még menti a fájlt DOC formátumban (kapcsolt FileTemplates eljárás), és a nevét és kiterjesztését szabadság, amely úgy döntött, felhasználó. Ha bezárja a fájlt is fertőződik - a vírus, és tartja a DOC-formátumban. A kivétel itt is van egy DOT-formátum - a mentés után a fájl nem fertőzött.
Ennek eredményeként az ilyen manipulációk, olvasható a mentés után csak kiterjesztésű fájlokat DOC, RTF DOT és; . Az olvashatóság tárolt fájlok más kiterjesztések, mint például a TXT vagy HTML, azt szeretnénk, hogy egyszerűen lecseréli a kiterjesztéseket DOC;
- Ha a dokumentumot az attribútum „csak olvasható” (read-only), akkor a vírus nem fertőz meg.
Minden dokumentum vírus megfertőzi csak 1 alkalommal, ellenőrizve azt (a dokumentum) tartalmát a másolás (check elvégzett három töredékei vírusos kód). Míg megfertőzni a fájl méretét növelik átlagosan 16,3 kb.
Virus kilép, amikor bezárja Word'a.
amelyet le kell állítani.
megőrzése a testület, ahol ez szükséges.
Ez az eljárás létrehozásához használt eredeti fájl C: \ WINDOWS \ PCSB.inf. ami tovább vírus valamilyen okból újra.
Ha a minta nem fertőzött, a dátumot, hogy emlékezzen, amikor a fertőzésre.
Ez az eljárás létrehozásához használt eredeti fájl C: \ WINDOWS \ Dte.inf. amikor a rendszer sablon Normal.dot még nem fertőzött; bevezetése után a vírus a fájl Dte.inf felülírni nem képződik.
Rosszindulatú eljárás, amely azonban nem működik hiba miatt a kódot a vírus. Ennek hiányában hiba volna, hogy a következő: ha a felhasználó dolgozik dokumentumokat az időtartam 18:00-08:00, a vírus hozzáfűzi, hogy a tartalom minden nyitott Word dokumentum szövege a következő:
Meg kell dolgozni a munkaidő alatt. Barik.
Amikor lezárja a vírus automatikusan elmenti a tartalmát az eredeti dokumentumokat a megadott szöveget.
Ellenőrizze, hogy szükség van annak érdekében, hogy nem hal meg és szaporodnak
Eljárással kapcsolatos ellenőrzési és szennyezettsége megnyitott dokumentumokat.
Ezeken a vonalakon sokáig én szar Antivirus
Még nem adott hozzá egy változó csalás
És azt mondja, tchotchke-Pecka
Várják az új kiadást.
Harcolni fogunk még.
Vírusos szubrutin egzotikus név Pig (sertés) két szubrutin:
Olvasás fertőzés időpontját szükség
Vírus ellenőrzés, mennyi idő telt el azóta fertőzés rendszer, dekódolás és az adatok olvasása a fájlból a C: \ WINDOWS \ Dte.inf.
Ha a fertőzés időpontjában telt egy hónap, aktiválja a vírus
Miután a 30 napos határidő a vírus teljesen blokkolja Word'a: amikor megpróbálja megnyitni, létrehozni, majd elmenthetjük vagy nyomtatott dokumentumok, hívja a (vegyenek FilePrint eljárások FilePrintDefault HelpAbout NEWVIR és Malac ...) Ők (dokumentumok) automatikusan megszűnik, és képernyő ad hamis „hiba” üzenet:
Egyébként ezt az üzenetet is ad a vírus még befejezése előtt a 30 napos határidő az esetben, ha a felhasználó megpróbálja információt kérni keresztül almenü? -> About ....
Mint már említettük, a vírus beolvassa a dátumot és az időt annak telepítését a fájlt a C: \ WINDOWS \ Dte.inf. amely megteremti csak 1 alkalommal - kezdetben, míg megfertőzni a rendszert. Ez a hiba lehet, hogy kinyit Word'a abban az esetben, ha van egy autó nincs anti-vírus program. Eltávolítása Dte.inf fájlt. Azt tehát, kizárja annak lehetőségét, blokkolja a vírus dolgozni dokumentumokat.
Word 97 / 2k.Extra - Psyclone X
Az első vírus az év 2k
Antivirus Kaspersky AntiVirus:
A fertőzött fájlok: Virus.MSWord.Pcsb (kezeli a fájlok)
A fertőzött sablon Normal.dot: párhuzamos Virus.MSWord.Onex és Virus.MSWord.Pcsb (kezeli fájl)
PCSB.inf fájlt. Virus.MSWord.Pcsb (el kell távolítani)
Antivirus BitDefender Professional:
A fertőzött fájlok: W97M.Nid.C (kezeli a fájlok)
A fertőzött sablon Normal.dot: W97M.Nid.C (kezeli fájl)
PCSB.inf fájlt. Figyelmen kívül hagyja mind a rosszindulatú kód
Antivirus DrWeb:
A fertőzött fájlok: W97M.Barik (kezeli a fájlok)
A fertőzött sablon Normal.dot: W97M.Onex (kezeli fájl)
PCSB.inf fájlt. W97M.Barik (el kell távolítani)