W97M.Cian.C@mm – Word alatt is fertőz az Excel makróvírus

A fertőzött e-mail tulajdonságai

Tárgy: véletlenszerűen választ egyet az alábbiakból:
Here is that file
Important file
The file
Word file
[a fertőzött dokumentum neve]
The file you wanted
Here is the file
Tartalom: The file I am sending you is confidential as well as important; so don´t let anyone else have a copy.
Csatolmány: egy fertőzött Word dokumentum

A makróvírus paraméterei

Felfedezésének ideje: 2003. február 12.
Utolsó frissítés ideje: 2003. február 12.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Microsoft IIS, Unix, OS/2
Mérete: 42.429 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megkísérli elrejteni kártevő műveleteit a Word makróvírus védelmét szolgáló biztonsági beállításainak megváltoztatásával
– a letiltott toolbarok:
Tools>Macro
Tools>Macro>Security
Tools>Macro>Macros
Tools>Macro>Customize
View>Toolsbars
Format>Object
– exportálja kódját a System könyvtárba, Evade.jpg néven
– megfertőzi a Word global template-jét, a Normal.dot-ot; ennek révén minden Word indításkor elindul a makróvírus is
– létrehozza a HKEY_CURRENT_USER/Software/Zed/[rRlf]/VBS/Evade/RecordContacts Registry kulcsot
– amennyiben egy e-mailt elküldött, azt felviszi ebbe a kulcsba, így minden címre csak egyszer továbbítja magát
– a Windows Address Bookjából kinyert kontaktok számára továbbítja magát a fent ismertetett karakterisztikában
– létrehozza a System könyvtárban a Winstart.bat állományt, amely a VBS.Cian.C@mm féreg komponenseit tartalmazza
– létrehozza a winstart wscript [System elérési útvonala]/winstart.vbs %1 bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsban