W97M.Nometz.B – макро вирус, который заражает Microsoft Word и загружает Word документы на удаленный сервер.
W97M.Nometz.B – макро вирус, который заражает Microsoft Word и загружает Word документы на удаленный сервер.
При запуске червь выполняет следующие действия:
1. Запускает вирус при закрытии зараженного Word документа.
2. Отключает защиту от вирусов в Microsoft Word
3. Добавляет значения:
"AccessVBOM" = "1"
"DontTrustInstalledFiles" = ""
"Level" = "1"
в подключ реестра:
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Word\Security
чтобы понизить настройки безопасности Microsoft Word и скрыть наличие вируса от пользователя
4. Скрывает опцию Macro в меню Tools и отключает редактор “Visual Basic for Applications”.
5. Записывает зараженный файл в шаблон C:\Windows\SYSTEM\cdrom.dot и копирует зараженный макрос с именем cdrom в Normal.dot файл.
6. Создает файл C:\cdip.txt, который содержит Ip настройки компьютера и загружает этот файл на FTP сервер cdrom.servegame.com. После чего создает следующие файлы:
• C:\c[P-Y]d.bat
• C:\c[P-Y]d.ftp
7. Копирует макрос C:\Windows\SYSTEM\cdrom.dot на незараженный документ.
8. Ищет следующие строки в зараженных документах, и если обнаружена хотя бы одна строка, закрывает зараженный документ:
• prova
• Avaliacao
• copeve
• concurso
9. Копирует зараженный документ в C:\WINDOWS\SYSTEM и изменяет расширение на .jpg. Все файлы, соответствующие маске C:\Windows\system\*.jpg, загружаются на FTP сервер cdrom.servegame.com, после чего удаляются.
10. Включает настройки безопасности макроса, спрашивая разрешения записать изменения в шаблон Normal когда пользователь открывает меню Tools в MS Word. Затем отключает эти настройки при закрытии меню.