Энциклопедия компьютерных вирусов
Основной процесс вируса
При запуске PE-компоненты вируса он остается в памяти Windows как скрытое приложение, которое перебирает все диски от C: до Z: и запоминает их имена. Затем вирус перебирает все обнаруженные диски и создает их дерево подкаталогов. Затем вирус проходит дерево подкаталогов, ищет в них .DOC- и .DOT-файлы Word и переносит в них свой макро-код из файла HEATHEN.VDO (при этом также используются функции библиотеки OLE32).
Если при этом происходит прекращение процесса (завершение работы Windows), то вирус сохраняет список еще незараженных каталогов в потоке данных ScanData в файле HEATHEN.VDO. При следующем старте вирус продолжит поиск файлов с того каталога, на котором его прервали в предыдущий раз.
Эта особенность поведения вируса позволяет ему заразить все Word-документы на диске и на доступных дисках сети вне зависимости от загрузки компьютера (при этом следует учесть, что процесс вируса имеет достаточно низкий приоритет и практически не влияет на работу других программ). Если вирус не успел проверить все каталоги, он продолжит свою работу при последующих запусках Windows.
Еще одна особенность вируса заключается в том, что если текущая дата - 14 мая, то вирус заражает только документы, имена которых начинаются на символ "_". Похоже, что автор вируса в этот день проводит окончательное тестирование вируса и таким образом предохранял свою систему от полного заражения.
