W97M.Verlor
W97M.Verlor je makro-virus koji inficira dokumente Majkrosoft vorda '97 i 2000.
Druga imena[uredi | uredi izvor]
Ovaj virus je takođe poznat kao W97M.Overlord.
Dejstvo[uredi | uredi izvor]
Zatvaranje zaraženog dokumenta pokreće virus koji u glavni Microsoft Windows direktorijum (obično C:\windows\) snima dva fajla: tempad.dll i tempnt.dll (rutine infekcije[1]). Ovi fajlovi se dalje koriste za inficiranje svakog sledećeg otvorenog dokumenta kao i glavnih šablona (obično blanko-fajlova) od kojih se započinju novi dokumenti. Virus takođe pravi fajl C:\Himem.sys, u koga smešta listu zaraženih dokumenata.
Virus takođe za sobom ostavlja ili koristi fajlove overlord.b.vbs i overlord.b.dll[2].
Nevidljivost[uredi | uredi izvor]
Ako korisnik pokuša da pristupi Vižual Bejsik editoru (Tools -> Macros -> Visual Basic Editor) kojim bi virus mogao biti otkriven, biva pokrenuta virusova stelt-funkcija. Ista menja naziv korisnika na „The Overlord“, a potom u Windows fajl win.ini dodaje liniju[2]:
run = <Direktorijum Windows-a>\overlord.b.vbs
tako da izvrši fajl overlord.b.vbs po sledećem startu sistema. Potom virus sam sebe briše iz glavnog šablona i svih aktivnih dokumenata, što onemogućava njegovo pronalaženje putem pokrenutog alata.
Po svom pokretanju, overlord.b.vbs ponovo inficira glavni šablon i sve fajlove čija su imena zapisana u C:\Himem.sys.[3]
Ukoliko korisnik pokuša da pristupi listi makroa (Tools -> Macros -> Macro) virus se briše iz glavnog šablona i svih aktivnih dokumenata pre otvaranja prozora. Ovo onemogućava da se isti nađe u listi prisutnih makroa. Po zatvaranju dijaloga, virus opet zaražava sve aktivne dokumente i glavni šablon.