Virus.MSPublisher. Avarta.a

Это первый известный вирус, заражающий документы MS Publisher

Это первый известный вирус, заражающий документы MS Publisher (PUB).

Вирус очень прост, использует перезаписывающий метод заражения, написан на Visual Basic for Applications (VBA). В теле вируса содержатся следующие строки:

[TLAHUIZCALPANTECUHTLI]

Dedicated to Tlahuizcalpantecuhtli. He is nice.
But this is only shit... fuqin' publisher's VBA.
Fak u Micro$oft!
(c) A. V., 07D5

Вирус использует весьма грубый метод размножения: ищет документы Publisher и копирует себя поверх их содержимого, тем самым уничтожая его. Место для поиска документов Publisher Avarta извлекает из ключа системного реестра, в котором хранятся пути к последним открытым в Publisher документам.

Вирус также сбрасывает значение уровня защиты макросов в Low — это обычная практика среди макро-вирусов.