Security Lab

Constructor.MSWord.Cvck.f

Constructor.MSWord.Cvck.f

Конструктор Word-макро-вирусов и семейство сгенеренных им вирусов.

Конструктор Word-макро-вирусов и семейство сгенеренных им вирусов. При запуске выдает MessageBox и, если выбирается ответ "Agree", копирует себя в NORMAL.DOT:

Warning !!
You are about to installing the Macro Virus Construction Kit. This
Construction can make a working Macro Virus. By clicking AGREE, you are
agreeing that YOU UNDERSTAND that any damage by VIRUSES made by this
Construction IS NOT OUR RESPONSIBILITY. NOTE :Work only on English
version of WINWORD 6.0 above If you do NOT AGREE with the above, click on
CANCEL and go to hell

После этого Word превращается в генератор вирусов. В главное меню добавляется новый пункт "Crazy VCK v0.1", в котором есть пункты для генерации вирусов, "About" и деинсталяция конструктора. При создание вируса запрашивает название файла в который он запишет макросы. Выдает DialogBox в котором выбирается тип вируса: Stealth, Encrypted, 'Semi' Polymorphic. По определенной дате, заданной пользователем, осушествляются следующие действия: вывод сообщения, уничтожение файлов, форматирование винчестера, запуск DOS-вируса, вывод картинки.

Cvck.a

Вирус, полученный путем доработки сконструированного вируса. Содержит 11 макросов: AutoExec, AutoOpen, Action, Action2, stdClose, HelpAbout, Organizer, ActionDate, ToolsMacro (стелс), FileTemplates, ToolsCustomize. Заражает систему при открытии файла, а документы при их закрытии. Имеет две даты (11 и 31) по которым выдаются диалоговые окна. При вызове меню ToolsMacro и FileTemplates выдает диалоговое окно:

Chicken say .........

[pox-poX-pOX-POX-POx-Pox-pox]
Hello there......., this command was blocked by Chicken Pox Macro Virii
This is sample from Our Generator Virii, we named our generator CVCK V0.2.
It's very user friendly !, try it ! This Virii is not Dangerous !, If you
want try our CVCK V0.2 email Us on "nomercy12@hotmail.com"

Cvck.b

Вирус, полученный путем доработки сконструированного вируса. Содержит 6 макросов: AutoExec, AutoOpen, Action, Stealth, StlhClose, ActionDate. В NORMAL.DOT имеется еще три макроса: ToolsMacro, ToolsCustomize, FileTemplates. Заражает систему при открытии файла, а документы при их закрытии. При попытке просмотреть макросы (ToolsMacro, FileTemplates) вирус стирает файлы из директории C:\Windows. Каждую пятницу уничтожает текст пользователя и вставляет свой.

Cvck.c

Вирус, полученный путем доработки сконструированного вируса. Содержит 6 макросов: AutoExec, AutoOpen, Action, Stealth, StlhClose, ActionDate. В NORMAL.DOT имеется еще три макроса ToolsMacro, ToolsCustomize, FileTemplates. 13 числа выдает диалоговое окно:

Visit NoMercy WEB PAGE !

http://www.geocities.com/ReseachTriangle/3996
Welcome Again buddy!. It's nice create a Virus, why you don't try?
Like always, We made new If Our Macro Viruses was detectable by famouse AV
Visit http://www.geocities.com/ReseachTriangle/3996 for know newest
Macro Virus from Us and Indonesian Macro Virus!

Содержит закомментированный текст:

--------------------------------------------
Created using CVCK v.01 b
(C)CrazybitS 1997, Yogyakarta, Indonesia

--------------------------------------------
greeting to
-Cicatrix major collector
-D.Giovanni
-All Macro virii creator
-You that has seen the decription macro

Cvck.c

Получен путем доработки сконструированного вируса. Содержит 10 макросов: AutoExec, AutoOpen, Action, stdClose, FilePrint, ActionDate, ToolsMacro, EditAutoText, FileTemplates, FilePrintDefault. 1 и 13 числа каждого месяца стирает текст пользователя и выдает диалоговое окно:

You have fOX'Z in your computer !

Hey, No body can use Microsoft Word Today !!
Yogyakarta, Indonesia by :
Fox'z,

При печати в воскресенье вставляет в текст колонтитулы, а затем их стирает:

Try to print tomorrow buddy , today your computer want rest (today is a
holiday?) --Foxz--

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь