Virus.Win32.Jlok

Программа-вирус, заражающая документы Microsoft Word. Написана на Delphi 6.0. Размер программы — 55296 байт.

Virus.Win32.Jlok («Лаборатория Касперского») также известен как: Trojan Horse (Symantec), Win32.HLLP.Jook (Doctor Web), W32/Jlok.A (Panda), Win32/Jlok.A (Eset)

Программа-вирус, заражающая документы Microsoft Word. Написана на Delphi 6.0. Размер программы — 55296 байт.

Инсталляция

Копирует себя в системную директорию под именами ntldrt.exe и shellbit32.exe. Файлы имеют атрибуты «скрытый» и «системный».

Создает следующие ключи реестра для автозагрузки при старте Windows:


[HKCU\Software\Microsoft\Windows\
CurrentVersion\Run]
 "shell32"="ntldrt.exe"

[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run]
 "sysclx"="ntldrt.exe"  

Вредоносные действия

Ищет на жестком и гибком дисках файлы с расширением «doc», переименовывает их в «exe» и инфицирует. Метод заражения — дописывание себя перед началом doc-файла; заголовок документа при этом шифруется. При запуске зараженного файла первым отрабатывает вирус, который затем запускает оригинальный doc-файл, расшифровав его заголовок.

Признаки присутствия в системе


    * наличие мьютекса с именем «mylove»;
    * превращение документов MSWord в исполняемые «приложения»;
    * увеличение их размера на 55296 байт.