Это первый известный вирус, заражающий документы MS Publisher
Это первый известный вирус, заражающий документы MS Publisher (PUB).
Вирус очень прост, использует перезаписывающий метод заражения, написан на Visual Basic for Applications (VBA). В теле вируса содержатся следующие строки:
[TLAHUIZCALPANTECUHTLI]
Dedicated to Tlahuizcalpantecuhtli. He is nice.
But this is only shit... fuqin' publisher's VBA.
Fak u Micro$oft!
(c) A. V., 07D5
Вирус использует весьма грубый метод размножения: ищет документы Publisher
и копирует себя поверх их содержимого, тем самым уничтожая его. Место для поиска
документов Publisher Avarta извлекает из ключа системного реестра, в котором
хранятся пути к последним открытым в Publisher документам. Вирус также сбрасывает значение уровня защиты макросов в Low — это обычная
практика среди макро-вирусов.