W97M.Verlor

С Википедије, слободне енциклопедије

W97M.Verlor је макро-вирус који инфицира документе Мајкрософт вордa '97 и 2000.

Друга имена[уреди | уреди извор]

Овај вирус је такође познат као W97M.Overlord.

Дејство[уреди | уреди извор]

Затварање зараженог документа покреће вирус који у главни Microsoft Windows директоријум (обично C:\windows\) снима два фајла: tempad.dll и tempnt.dll (рутине инфекције[1]). Ови фајлови се даље користе за инфицирање сваког следећег отвореног документа као и главних шаблона (обично бланко-фајлова) од којих се започињу нови документи. Вирус такође прави фајл C:\Himem.sys, у кога смешта листу заражених докумената.

Вирус такође за собом оставља или користи фајлове overlord.b.vbs и overlord.b.dll[2].

Невидљивост[уреди | уреди извор]

Ако корисник покуша да приступи Вижуал Бејсик едитору (Tools -> Macros -> Visual Basic Editor) којим би вирус могао бити откривен, бива покренута вирусова стелт-функција. Иста мења назив корисника на „The Overlord“, а потом у Windows фајл win.ini додаје линију[2]:

run = <Директоријум Windows-а>\overlord.b.vbs

тако да изврши фајл overlord.b.vbs по следећем старту система. Потом вирус сам себе брише из главног шаблона и свих активних докумената, што онемогућава његово проналажење путем покренутог алата.

По свом покретању, overlord.b.vbs поново инфицира главни шаблон и све фајлове чија су имена записана у C:\Himem.sys.[3]

Уколико корисник покуша да приступи листи макроа (Tools -> Macros -> Macro) вирус се брише из главног шаблона и свих активних докумената пре отварања прозора. Ово онемогућава да се исти нађе у листи присутних макроа. По затварању дијалога, вирус опет заражава све активне документе и главни шаблон.

Референце[уреди | уреди извор]