 |
 |
 |
|
|
|
|
|
|
|
MARKER -
niebezpieczny uwodziciel... Jest to wirus typu makro, który wykorzystuje program Document_Close edytora MS Word. Po zamknięciu zarażonego dokumentu zagnieżdża się w module ThisDocument arkusza. Podczas zarażania kolejnych dokumentów kasuje wszystkie pliki .dot oraz .doc w katalogu domyślnym MS Word oraz zmienia następujące parametry edytora: UserName na "TJ
2000" Jeśli jest 11 dzień miesiąca, uruchamiany jest plik HTML "TJ.HTM", utworzony przy kolejnym starcie systemu Windows. Użytkownik komputera ogląda przebiegający przez ekran napis oraz może przeczytać wiersz poświęcony kobiecie ! Jak usunąć? Wirus wykrywa oprogramowanie Trend Micro z najnowszymi wzorcami. Należy wykasować wszystkie pliki wskazane jako: W97M_MARKER.EF. Uprzednio należy wyszukać i wykasować klucze rejestrów zawierające "WOMAN = "C:\WINDOWS\TJ.htm" dokonać zmian w rejestrze Wallpaper = "C:\WINDOWS\TJ.htm" , wykasować plik c:\windows\tj.htm. Wirus zawiera osiem programów makro: AutoClose, ToolsMacro, ViewVBCode, TM, VVBC, Document_Close, Document_New and Document_Open. ViewVBCode sprawdza datę, jeśli jest 15 dzień miesiąca, z okienka poleceń MS Word znikają komedy “FILE-PAGE SETUP...", "FILE-PRINT PREVIEW", "FILE-PRINT...", "FILE-EXIT" , "FILE-NEW...", "FILE-OPEN..." and "FILE-CLOSE" TM i VVBC umożliwiają wyświetlenie komunikatu: “This program has performed an illegal operation and will shut down.” Jak dotąd nie potwierdzono, że wirus bezpośrednio wywołuje te makra. Po aktywowaniu When Document_Close wirus
sprawdza, czy dokument oraz szablon Normal są zakażone, jeśli tak, to
nadpisuje swoim kodem ich zawartość. Zachęcamy do zapoznania się z założeniami PROFILAKTYKI ANTYWIRUSOWEJ Opracowano na podstawie materiałów Trend
Micro |
|
|
