Connect with us

technokrata

W97M.Nori.A – makróvírus a bolondok napjára

Dotkom

W97M.Nori.A – makróvírus a bolondok napjára

Minden év április 1-én aktiválódik és képes akár az összes adatot letörölni a fertőzött merevlemezről.

A féreg paraméterei

Felfedezési ideje: 2002. június 13.
Veszélyeztetett operációs rendszerek: nem meghatározott
Mérete: egy VBA modulnyi
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktivizálódásakor bekövetkező események

– egy Word dokumentum megnyitásakor vagy lezárásakor fertőzhet
– kikapcsolja a Word következő beállításait:
makróvírus védelem, dokumentum megnyitásakor konverzióra való megerősítési kérelem, globális template mentésére vonatkozó megerősítési kérelem
– megakadályozza a felhasználót a Visual Basic Editor használatában
– létrehoz egy ideiglenes állományt, a C:/Iron.tmp-t, amit a dokumentumok és a globális template-ek közti terjedésre használ (fertőzés után letörli ezt a file-t)
– minden április 1-én aktiválódik a makróvírus destruktív része

Károkozás

A Registry HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion kulcsában levő bejegyzéstől függően fejti ki pusztító hatását. Amennyiben az itt levő RegisteredOrganization nevű bejegyzés IRON, minden file-t megpróbál letörölni a C: meghajtóról. Ha nem, akkor a fertőzött dokumentum összes szövegét kitörli az állományból.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek