Обнаружен новый макро вирус OF97/Cybernet-A

Компания Sophos в «диком» виде обнаружила новый макро вирус, заражающий документы MS Word и Excel, который получил имя Cybernet-A.

Интересен тот факт, что несмотря на то, что Cybernet-A явяется макро вирусом, он распространяет себя, используя, столь любимый всеми вирусами, MS Outlook. Для рассылки зараженных писем используются все адресаты из почтовой базы.

Как отличить зараженное Cybernet-A письмо

Почтовое сообщение, содержащее вирус, имеет тему:

«You’ve GOT Mail !!!»

и содержит следующий текст:

«Please, saved the document after you read and don’t
show to anyone else. The document is also VIRUS
FREE…so DISREGARD the virus protection warning !!!».

В теле вируса содержится следующий комметарий:

‘W97M/CyberNET (C)2000 — Indonesia By AnomOke!

«I’m NOT Responsible For Any Damage That

Posible Cause By My Virus…!!!»‘.

Деструктивные действия

Вирус предпринимает попытки определить, используются ли на компьютере жертвы антивирусные сканеры, и, при этом, данный паразит выводит на экран следующие сообщения (в зависимости от того, какой антивирус он нашел):

‘anti-heuristic for stupid Norton antivirus scanner’

‘анти-эвристика для глупого антивирусного Norton-сканера’

‘anti-heuristic for stupid McAfee antivirus scanner’

(‘анти-эвристика для глупого антивирусного McAfee-сканера’)

17 августа и 25 декабря вирус пытается активно пакостить:

1. Заполняет открытый документs MS Word и Excel случайным числом векторных фигур (наподобие, как Melissa)
2. Вставляет в AUTOEXEC.BAT команду форматирования диска C: и добавляет комментарии, в которых выражает саболезнование по поводу своих действий:
############################################################################### # Vine...Vide...Vice...Moslem Power Never End... # # I'm Really Sorry, This System Have Been Recycled By -= CyberNET =- Virus!!! # # Brought To You From INDONESIA... # ###############################################################################

1 2 3 4 5

############################################################################### #                 Vine...Vide...Vice...Moslem Power Never End...              # # I'm Really Sorry, This System Have Been Recycled By -= CyberNET =- Virus!!! # #                         Brought To You From INDONESIA...                    # ###############################################################################

3. Модифицирует системный файл CONFIG.SYS
4. А напоследок выводит окно с сообщением:
   
   И, если пользователь нажимает на кнопку OK, перегружает компьютер.

Техническое описание от «Лаборатории Касперского»