Security Lab

Virus.MSWord.Xaler.ab

11987
Virus.MSWord.Xaler.ab

Вредоносная программа, заражающая документы MS Word на компьютере пользователя.

Технические детали

Вредоносная программа, заражающая документы MS Word на компьютере пользователя. Представляет собой документ MS Word, содержащий в своем теле вредоносный макрос. Имеет размер 322048 байт

Заражение файлов

При открытии либо закрытии пользователем зараженного документа вредонос извлекает из своего тела макромодуль "ThisDocument" и сохраняет его в корневом каталоге логического диска С: под следующим именем: 

C:\temp.tmp
Далее вирус считывает содержимое из файла-шаблона MS Word - "Normal.dot" и добавляет полученные данные в файл 
C:\temp.tmp
Затем считывает из файла "temp.tmp" весь код, который находится после строки: 
'RELAX
и переписывает содержимое файла "Normal.dot", добавляя в него свой вредоносный макрос. После этого переписывает свой активный документ. Затем вредонос проверяет атрибуты открытого документа, и если документ не "Скрытый" и "Системный" – устанавливает в "1" значение 862-го байта и удаляет файл: 
C:\temp.tmp
В зараженный документ также добавляет следующую информацию: 
' Logfile -->    ' * DSR & FHS , KGU EMF  ' 00:15:54  -  Wednesday, 22.12.1999  ' KZ, Kostanai, KGU EMF Applied Mathematics  ' <время_и_дата_заражения >  ' <имя_пользователя_MS_Word>  ' <почтовый_адрес_пользователя>

Деструктивная активность

Далее вирус отключает уведомление о возможности содержания вредоносного кода в документе, изменяет настройки безопасности, разрешая выполнение макросов в открываемых документах, разрешает приложению MS Word сохранять изменения в файле-шаблоне "Normal.dot". Добавляет в системный реестр следующую информацию: 

[HKCU\Software\Microsoft\MS Setup (ACME)\User Info]  "LogFile"="True"
Затем вредонос проверяет по строке: 
' DSR & FHS , KZ, Kostanai
заражен ли открытый документ или файл-шаблон. После этого создает файл 
С:\bootlog<rnd>.sys
где rnd – случайное десятичное число. В данный файл вредонос сохраняет содержимое макроса зараженного файла. Также создает текстовый файл с именем: 
C:\netlog.sys
в который записывает следующие строки: 
For YOU  SCOOTER  Wellcome to Calipso  FasterHarderScooter  Scooter on the Web: www.scoo***eb.de  Wiritten by FHS & DSR (KZ, Kostanai town, KGU)  This is a simple example  read C:\ bootlog<rnd>.sys

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Завершить работу MS Word.
  2. Удалить ключ реестра: 
    [HKCU\Software\Microsoft\MS Setup (ACME)\User Info]
  3. Удалить файлы: 
    C:\netlog.sys  С:\bootlog.sys
  4. Восстановить оригинальный файл-шаблон MS Word – "Normal.dot".

MD5: 4913a3d7faea301aa83595813ecfe7fb
SDA1: d55b8bc059cbe1e0184d2dd14b7be52db9417c8a