W97M.Nometz.B

W97M.Nometz.B – макро вирус, который заражает Microsoft Word и загружает Word документы на удаленный сервер.

W97M.Nometz.B – макро вирус, который заражает Microsoft Word и загружает Word документы на удаленный сервер.

При запуске червь выполняет следующие действия:

1. Запускает вирус при закрытии зараженного Word документа.

2. Отключает защиту от вирусов в Microsoft Word

3. Добавляет значения:

"AccessVBOM" = "1"
"DontTrustInstalledFiles" = ""
"Level" = "1"
в подключ реестра:
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Word\Security
чтобы понизить настройки безопасности Microsoft Word и скрыть наличие вируса от пользователя
4. Скрывает опцию Macro в меню Tools и отключает редактор “Visual Basic for Applications”.

5. Записывает зараженный файл в шаблон C:\Windows\SYSTEM\cdrom.dot и копирует зараженный макрос с именем cdrom в Normal.dot файл.

6. Создает файл C:\cdip.txt, который содержит Ip настройки компьютера и загружает этот файл на FTP сервер cdrom.servegame.com. После чего создает следующие файлы:
• C:\c[P-Y]d.bat
• C:\c[P-Y]d.ftp

7. Копирует макрос C:\Windows\SYSTEM\cdrom.dot на незараженный документ.

8. Ищет следующие строки в зараженных документах, и если обнаружена хотя бы одна строка, закрывает зараженный документ:
• prova
• Avaliacao
• copeve
• concurso

9. Копирует зараженный документ в C:\WINDOWS\SYSTEM и изменяет расширение на .jpg. Все файлы, соответствующие маске C:\Windows\system\*.jpg, загружаются на FTP сервер cdrom.servegame.com, после чего удаляются.

10. Включает настройки безопасности макроса, спрашивая разрешения записать изменения в шаблон Normal когда пользователь открывает меню Tools в MS Word. Затем отключает эти настройки при закрытии меню.