Многоликий Heathen.b

McAfee сообщает об обнаружении новой модификации многоплатформного вируса Heathen.

Heathen.b также, как и оригинал, инфицирует документы Word и PE EXE-файлы (выполняемые файлы) Windows.

В зараженных документах Word вирус существует в модуле «NewMacros». Он цепляется к обработчику событий Word при открытии файлов, чтобы запустить свой зловредный код. Вирус использует функцию KERNEL32.DLL для извлечения своей внедренной исполняемой программы.

Вирус удаляет или перезаписывает своим кодом файлы с раширениями: .TXT .DBF .ARJ .BMP .XLS .ZIP .RAR .JPG.

После запуска вирус создает файлы SYSTRAY.COM и W.VDO, затем заносит SYSTRAY.COM в системный реестр, а также регистрирует себя в системном реестре с помощью ключа: SoftwareWoodGoblinWG09.