Энциклопедия компьютерных вирусов
Macro.Word.Magnum
Зашифрован, содержит три макроса: Magnum, ToolsMacro, ExtrasMakro. Вирус не содержит ни одного авто-макроса и получает управление другим способом - при заражении документа или области системных макросов объявляет свой макрос "Magnum" обработчиком нажатия на пробел. MS Word сохраняет такие переопределения ввода с клавиатуры в документах и в NORMAL.DOT и восстанавливает их при открытии файла или загрузке NORMAL.DOT. При загрузке зараженных системных макросов или документов MS Word автоматически устанавливает реакцию на клавишу пробел на макрос "Magnum", и вирус в результате получает управление при каждом нажатии на пробел. После заражения системных макросов вирус выводит MessageBox:
MaGnUm
При помощи макросов ToolsMacro и ExtrasMakro вирус прячет себя в системе - при попытке обращения к макросам файла вирус самостоятельно выводит на экран аналог меню Tools/Macro и при выборе любого пункта (кроме CANCEL) выводит MessageBox:
WordBasic Err = 7 Not enough memory!
WordBasic Err = 7 Nicht gen0gend Arbeitsspeicher!
Вирус заражает систему DOS-вирусом "HLLO.Havoc", для этого использует стандартный прием с утилитой DEBUG - записывает 16-ный дамп вируса на диск и конвертирует его при помощи DEBUG в выполняемый файл HTC.COM. Затем вирус добавляет в конец файла C:\AUTOEXEC.BAT команды:
@echo off htc.com cls
и записывает в SystemProfile (файл WIN.INI) текст:
[DosVirus] Installed=Yes
13-го апреля вирус создает файл NORMAL.DOT и записывает в него текст:
Schon mal im blasen Mondlicht mit dem Teufel getanzt? ;-)) The Magnum Virus! NJ 1996
