Описание вируса SWScript.LFM

этот текст был написан Костин Раю (Costin Raiu) Румыния

Это первый известный вирус, который заражает файлы MacroMedia Shockwave (.SWF). Эти файлы обычно используются для различных видов анимации в сети интернет. Например анимированные электронные карты и поздравительные открытки. Вирус не способен заражать файлы .SWF если он загружен проигрывателем, который поставляется вместе с большинством версий обозревателей Netscape и Internet Explorer. Вирус будет выполняться и размножаться только если пользователь вручную установит внешний проигрыватель файлов Shockwave Flash, в котором отсутствуют некоторые ограничения стандартного проигрывателя. В настоящий момент этот вирус не был обнаружен в диком виде. Мы считаем что он не сможет распространяться самостоятельно.

Технические детали:

Вирус использует функции скрипт языка, встроенного в файлы .SWF. Он представляет из себя скрипт программу в формате Shockwave-скрипт. Эта скрипт программа создает и запускает файл V.COM размером 926 байт. Для того чтобы создать этот файл скрипт использует внешний системный файл DEBUG.EXE. Вызов DEBUG.EXE работоспособен только для операционный систем Windows NT, 2000 и XP, потому что для его запуска вирус вызывает командный процессор CMD.EXE, который не входит в поставку операционных систем Win9x/Me. Файл V.COM после старта ищет файлы *.SWF в текущем каталоге и записывается в их начало. Вирус проверяет сигнатуру файлов: FWSx99, затем он встраивает новый скрипт со своим телом. Этот новый скрипт выбрасывает и запускает файл
V.COM. При заражении файлов вирус динамически выделяет память в которой сохраняет код оригинального .SWF файла.