Virus.Win32.Jlok

Программа-вирус, заражающая документы Microsoft Word. Написана на Delphi 6.0. Размер программы — 55296 байт.

Virus.Win32.Jlok («Лаборатория Касперского») также известен как: Trojan Horse (Symantec), Win32.HLLP.Jook (Doctor Web), W32/Jlok.A (Panda), Win32/Jlok.A (Eset)

Программа-вирус, заражающая документы Microsoft Word. Написана на Delphi 6.0. Размер программы — 55296 байт.

Инсталляция

Копирует себя в системную директорию под именами ntldrt.exe и shellbit32.exe. Файлы имеют атрибуты «скрытый» и «системный».

Создает следующие ключи реестра для автозагрузки при старте Windows:

 
 [HKCU\Software\Microsoft\Windows\
 CurrentVersion\Run]
  "shell32"="ntldrt.exe"
 
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run]
  "sysclx"="ntldrt.exe"  

Вредоносные действия

Ищет на жестком и гибком дисках файлы с расширением «doc», переименовывает их в «exe» и инфицирует. Метод заражения — дописывание себя перед началом doc-файла; заголовок документа при этом шифруется. При запуске зараженного файла первым отрабатывает вирус, который затем запускает оригинальный doc-файл, расшифровав его заголовок.

Признаки присутствия в системе

 
     * наличие мьютекса с именем «mylove»;
     * превращение документов MSWord в исполняемые «приложения»;
     * увеличение их размера на 55296 байт.