AntiViral Toolkit Pro Вирусная Энциклопедия

Macro.Excel97 Laroux, Legend, Lord, Robocop, Tjoro, Yohimbe

Являются вирусами MS Excel, отконвертированными в формат Excel97. Как результат, набор макросов, функции, особенности и проявления этих вирусов полностью совпадают с их Excel-евскими прототипами.

Macro.Excel.Phantom

Стелс-вирус, заражающий электронные таблицы Excel (XLS-файлы). Содержит два модуля: ArtiLife и Replicator. В модуле ArtiLife содержится авто-функция auto_open, которая инсталлирует вирус в Excel и устанавливает функцию DeliverPayload (модуль Replicator) на выполнение в 16:00:00. При инсталляции вируса в Excel (заражение Excel) вирус создает в StartupPath Excel зараженный файл с именем ~XL.XLA.

Применяет необычный для макро-вирусов стелс-механизм: при открытии файла удаляет из него свои модули, а при закрытии снова заражает его.

Функция DeliverPayload, вызываемая в 16:00, выдает сообщения в StatusBar:


The Phantom <номер от 1 до 27>

Is watching you!

Beware!

Macro.Excel97.Neg

Заражает электронные таблицы Excel97. Алгоритм и проявления вируса совпадают с его Excel-прототипом "Macro.Excel.Neg" .

Macro.Excel97.Riots

Excel-макро-вирус, родственник вируса "Macro.Excel.Laroux" . Заражает электронные таблицы Excel97. Содержит два макроса в модуле Riots: Auto_Open, Auto_Close, Fuck.

При открытии зараженной таблици вызывается макрос auto_open, который в случае необходимости копирует себя в новый файл RIOTS.XLM в StartupPath Excel и, таким образом, заражает Excel. Вирус также определяет макрос заражения Fuck как выполняемый при активизации любой таблицы (Sheet), т.е. перехватывает процедуру открытия таблиц и заражает их.

При закрытии файлов 13 числа удаляет текущую страницу и выдает Balloon

XM97.Riots! by: Sbkm/AbZreplIvehfGrnz Encripted for safe me :o)

После чего выдает MessageBox:

>>XM.Riots<< if U smart you can read it!

Jr jnag ersbezngvba! 1. Ybj Gur cevpr 2. Oevat onpx zl Ehcvnu 3. Ab Zber Fbrunegb Pyna!

Sbkm/AbZreplIvehfGrnz

Macro.Excel97.Police

Заражает электронные таблицы Excel. Является "родственником" вируса "Macro.Excel.Laroux" . Содержит четыре подпрограммы в одном модуле "Police": Auto_Open, action, Auto_Close, effect.

При открытии зараженной таблицы вызывается макрос auto_open, который в случае необходимости копирует себя в новый файл FUCKPOL.XLM в каталоге запуска Excel и, таким образом, заражает Excel. Вирус также определяет макрос заражения action как выполняемый при активизации любой таблицы (Sheet), т.е. перехватывает процедуру открытия таблиц и заражает их.

Вирус удаляет пункты меню: Tools/Macro, Tools/Customize..., View/Toolbars, View/Status Bar, Window/Unhide...

При открытии файлов по 1, 13, 31 числам каждого месяца вирус удаляет текущую страницу и выдает Balloon-ы (см. ниже). Эти Balloon-ы не выводятся, если установлено UserName = "foxz" и OrganizationName = "NoMercyVirusTeam". Видимо, автор вируса таким образом блокирует проявления вируса на собственном компьютере. Выводимые строки текста выглядят следующим образом:

XM97.Fucking Police Six students of Universitas Trisakti, Jakarta, died from bullets fired by security personnel during an action of concern staged by thousands of students at the campus of Universitas Trisakti, Grogol, West Jakarta, on Tuesday (12/5). The six students were shot while on campus by a flurry of bullets, suspected to be fired by security troops on the Grogol fly-over. Dozens of other students suffered serious and minor injuries.

XM97.Fucking Police Until this report was prepared, around 200 students were still waiting in the corridors of the Sumber Waras Hospital, guarding their fellow-students still being treated in the Emergency Unit, as well as the remains of their colleagues laying in state. A moving atmosphere prevailed around the morgue, resounding with the shrieks and crying of the victims' relatives (text by kompas online)

I hate You !! Bwahahahaha, die you lamer!