Обнаружен новый макро-вирус для Word97 — «Thus.aa»

«Лаборатория Касперского» сообщает о появлении новой модификации вируса Thus, получившей название Macro.Word97.Thus.aa.

Эта модификация распространяется таким же образом что и первоначальный вариант вируса. После заражения документа вирус случайным образом выбирает на диске компьютера файл и сохраняет зараженный документ с тем же именем, но расширением «.DOC». На диске получаются два файла с одинаковым именем но разными расширениями. Если расширение найденного вирусом файла было тоже «.DOC», этот файл будет переписан вирусом а все данные из файла потеряны.

Так как алгоритм шифровки данных, используемый вирусом, обратим, все зашифрованные данные возможно восстановить за исключением одного байта в конце зашифрованного блока, который вирус портит необратимо. Программу для
восстановления зашифрованных вирусом файлов можно получить выслав запрос на адрес электронной почты службы поддержки AVP.

Каждый раз, активизировавшись при открытии, закрытии или создании документа, вирус случайным образом выбирает один файл на локальном диске компьютера и шифрует первые 32 килобайта данных в нем. Таким образом вирус портит данные
пользователя и программные файлы и со временем система может просто перестать работать.

Чтобы скрыть свое присутствие вирус использует специальные приемы. При выборе пункта меню «Tools/Macro» а также при попытке вызвать редактор Visual Basic вирус выводит на экран сообщение:

File VBADLG.DLL not found

При выборе пункта меню «Tools/Templates and Add-ins…» вирус выводит на экран сообщение:

Global template not loaded