Questo macro virus per MS Word 8 (Office '97),
contiene una macro in codice VBA (Visual Basic for Applications).
Una volta attivato attraverso l'apertura di un documento/modello
infettato, il virus infetta il modello globale NORMAL e i documenti
che vengono chiusi, intercettando l'evento di chiusura dei documenti
(Document_close). Il virus disabilita la protezione anti-macro di MS
Word.
Per stabilire se il documento attivo e il modello NORMAL sono già
stati infettati, il virus ricerca in questi ultimi un particolare
marcatore, la frase "<- this is a marker", che viene scritta come
costante di tipo stringa (sequenza di caratteri) nei
documenti/modelli infettati dal virus.
Il virus controlla la presenza del valore
Logfile all'interno della chiave di Registro
HKEY_CURRENT_USER\Software\Microsoft\MS
Setup (ACME)\User Info
Se il giorno del mese è 1 e se il valore della chiave di Registro
non esiste o è impostato a FALSE, il virus crea due file nella
radice del disco C:
- Il file NETLDX.VXD, dove vengono elencati una serie di comandi
da passare al programma FTP.EXE.
- Il file HSFXXXX.SYS, dove ogni X è costituita da un numero
intero compreso tra 0 e 7, scelto in modo casuale. Questo file
contiene un rapporto che documenta il "percorso di infezione" del
virus, ovvero i nomi degli utenti di MS Word che hanno passato il
documento infetto ad altri utenti, diffondendo l'infezione. Tale
rapporto, che contiene anche date e orari delle infezioni, viene
mantenuto sotto forma di commenti in tutti i documenti infettati
dal virus. Dopo aver creato tale file, il virus tenta di inviarlo
sul sito FTP dei Codebreakers (un gruppo di autori di virus),
eseguendo il programma FTP.EXE presente in Windows.
Terminata la procedura di infezione, il codice virale imposta a
TRUE il valore Logfile della chiave di Registro
HKEY_CURRENT_USER\Software\Microsoft\MS
Setup (ACME)\User Info
evitando così di ripetere il collegamento FTP durante l'infezione
di altri documenti.
|