PIECE -
wysyła pocztę, modyfikuje AUTOEXEC.BAT, kasuje pliki INI !
Znany także jako: PIECE.A, Macro.Office97.Melissa-based, W97M/Melissa.gen@MM,
W97M.OutlookWorm.gen
Jest to wirus makro, który zaraża pliki MS
Word. Atakuje przy otwieraniu pliku (AutoOpen) oraz zachowywaniu (FileSave).
Tworzony jest wówczas nowy moduł o nazwie "Ghauri2", który
zawiera kod wirusa. Wyłączany jest edytor VB oraz niektóre polecenia z
menu: TOOLS->MACRO, TOOLS->CUSTOMIZE, TOOLS->Templates i ADD-INS,
VIEW->TOOLBAR, FORMAT->STYLE. Następnie zakażany jest szablon
NORMAL.DOT i aktualnie otworzony dokument. Pod wszystkie adresy z programu
pocztowego użytkownika wysyłana jest wiadomość, któa może wyglądać w
ten sposób:
Temat:
A Piece of Information from <Nazwa użytkownika>
Treść: Here is some thing about EME College that you better
know…
Do rejestru HKEY_CURRENT_USER\ Software\
Microsoft\ Office\! Ghauri2 ! wpisywany jest tekst : "This machine
salutes to GodOfBasic".
Kolejną czynnością jaką wykonuje wirus jest sprawdzenie daty. Oto wykaz
podejmowanych działań w zależności od dnia:
11 czerwca -
wyświetlany jest komunikat:
"Say
Happy Birthday to GodOfBasic! He is <1978-year today> years old
today."
28 maja pojawia
się komunikat:
"This
machine is struck by the great GHAURI2 Virus !!! ...coded by GodOfBasic
a następnie kasowane sa wszystkie
pliki .INI w folderze Windows.
14 sierpnia na
ekranie przeczytamy:
"It's 14th Aug. Say Happy Birthday to Pakistan !!! ...Ghauri2
25 marca z
kolei zobaczymy na ekranie:
"25th March 1997, A memorable day of my life? ...Ghauri2
Modyfikowany jest plik AUTOEXEC.BAT poprzez
wielokrotne (1000 razy) dodanie treści wyświetlanego komunikatu. Jeśli użytkownik
komputera ma szczęście i losowa liczba generowana przez wirus to akurat 786,
AUTOEXEC.BAT pozostawiany jest w spokoju.
Jak usunąć ?
Należy skasować klucz "!Ghauri2
!":
1. Wpisać REGEDIT z menu Start->Run
command
2. Wskazać (+) z lewej strony panela przy następujących pozycjach:
HKEY_CURRENT_USER
Software
Microsoft
Office
Odszukać "!Ghauri2 !" i wcisnąć DEL.
Przeskanować zasoby przy pomocy oprogramowania
antywirusowego i skasować wszystkie pliki zidentyfikowane jako
W97M_PIECE.A.
Zalecamy, aby korzystac z najnowszych wzorców wirusów.
Opracowano na podstawie materiałów Trend
Micro
© 1999 Trend Micro Incorporated. All Rights Reserved
