Virus.MSWord.Xaler.ab

Технические детали

Вредоносная программа, заражающая документы MS Word на компьютере пользователя. Представляет собой документ MS Word, содержащий в своем теле вредоносный макрос. Имеет размер 322048 байт

Заражение файлов

При открытии либо закрытии пользователем зараженного документа вредонос извлекает из своего тела макромодуль "ThisDocument" и сохраняет его в корневом каталоге логического диска С: под следующим именем:

C:\temp.tmp

Далее вирус считывает содержимое из файла-шаблона MS Word - "Normal.dot" и добавляет полученные данные в файл

C:\temp.tmp

Затем считывает из файла "temp.tmp" весь код, который находится после строки:

'RELAX

и переписывает содержимое файла "Normal.dot", добавляя в него свой вредоносный макрос. После этого переписывает свой активный документ. Затем вредонос проверяет атрибуты открытого документа, и если документ не "Скрытый" и "Системный" – устанавливает в "1" значение 862-го байта и удаляет файл:

C:\temp.tmp

В зараженный документ также добавляет следующую информацию:

' Logfile -->    ' * DSR & FHS , KGU EMF  ' 00:15:54  -  Wednesday, 22.12.1999  ' KZ, Kostanai, KGU EMF Applied Mathematics  ' <время_и_дата_заражения >  ' <имя_пользователя_MS_Word>  ' <почтовый_адрес_пользователя>

Деструктивная активность

Далее вирус отключает уведомление о возможности содержания вредоносного кода в документе, изменяет настройки безопасности, разрешая выполнение макросов в открываемых документах, разрешает приложению MS Word сохранять изменения в файле-шаблоне "Normal.dot". Добавляет в системный реестр следующую информацию:

[HKCU\Software\Microsoft\MS Setup (ACME)\User Info]  "LogFile"="True"  

Затем вредонос проверяет по строке:

' DSR & FHS , KZ, Kostanai

заражен ли открытый документ или файл-шаблон. После этого создает файл

С:\bootlog<rnd>.sys

где rnd – случайное десятичное число. В данный файл вредонос сохраняет содержимое макроса зараженного файла. Также создает текстовый файл с именем:

C:\netlog.sys

в который записывает следующие строки:

For YOU  SCOOTER  Wellcome to Calipso  FasterHarderScooter  Scooter on the Web: www.scoo***eb.de  Wiritten by FHS & DSR (KZ, Kostanai town, KGU)  This is a simple example  read C:\ bootlog<rnd>.sys  

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Завершить работу MS Word.
2. Удалить ключ реестра:

   [HKCU\Software\Microsoft\MS Setup (ACME)\User Info]

3. Удалить файлы:

   C:\netlog.sys  С:\bootlog.sys  

4. Восстановить оригинальный файл-шаблон MS Word – "Normal.dot".

MD5: 4913a3d7faea301aa83595813ecfe7fb
SDA1: d55b8bc059cbe1e0184d2dd14b7be52db9417c8a