Энциклопедия компьютерных вирусов
Заражение MS Word
При заражении MS Word вирус первым делом ищет файл C:\ANCEV.SYS ("ANCEV"="VECNA" задом наперед). Этот файл является файлом "специального назначения". Вирус создает его, если процедура заражения MS Word завершилась успешно. Таким образом, существование этого файла говорит о том, что шаблон NORMAL.DOT содержит копию вируса, и именно в этом случае в электронных письмах вирусом рассылаются копии NORMAL.DOT. Если же MS Word не обнаружен или не был заражен, вирус рассылает зараженные PE EXE-файлы.
Итак, вирус преверяет наличие файла C:\ANCEV.SYS. Если он не обнаружен, вирус переходит к заражению NORMAL.DOT. Если обнаружен, то вирус случайным образом с вероятностью 9/10 выходит из процедуры заражения, но с вероятностью 1/10 все равно заражает NORMAL.DOT своей копией.
Затем вирус выключает защиту от вирусов MS Word и делает это изменением ключа системного реестра:
SOFTWARE\Microsoft\Office\8.0\Word\Options, EnableMacroVirusProtection
Затем вирус также при помощи ключей реестра:
SOFTWARE\Microsoft\Office\8.0\Common\FileNew\LocalTemplates
получает имя каталога шаблонов MS Word, уничтожает там файл NORMAL.DOT и замещает его своей собственной зараженной копией. Эта копия содержит короткий макрос AutoExec, который будет активизирован при следующем старте MS Word. Этот макрос импортирует основной код вируса из файла C:\COCAINE.SYS.
Файл C:\COCAINE.SYS создается вирусом сразу после записи нового зараженного NORMAL.DOT. Этот .SYS-файл на самом деле является текстовым файлом, который содержит исходный код макроса вируса. Этот код хранится в основном теле вируса, "разбавляется" полиморфными командами и в конец его дописывается образ зараженного PE EXE-Файла, преобразованный в тестовый вид (шестнадцатеричный дамп).
Таким образом, заражение MS Word происходит за два шага. На первом вирус создает исходный код своего макроса в файле C:\COCAINE.SYS и записывает новый NORMAL.DOT с макросом AutoExec внутри. На втором шаге (при следующей загрузке MS Word) макрос AutoExec импортирует в NORMAL.DOT основной макрос вируса из C:\COCAINE.SYS, и на этом процедура заражения MS Word завершается.
