W97M_THUS.BH — деструктивный макро-вирус

В «диком виде» появился новый вариант макро-вируса из семейства Macro.Word97.Thus под названием W97M_THUS.BH (aka W97M.CELEBRATE.A, W97M/Thus.gen). Вирус инфицирует документы и шаблоны Word, отключает макро-вирусную защиту в Word и разрешает доступ к макро-кодам только одним способом — по нажатию Alt-F11.

11-го числа каждого месяца вирус переименовывает оригинальный AUTOEXEC.BAT в CSP_C_AU.BAT и затем создает свой собственный файл с названием AUTOEXEC.BAT. При следующем перезапуске системы запускается вирусный AUTOEXEC.BAT, который в свою очередь запускает программу CSP_C.BAS, использующую C:WINDOWSCOMMANDQBASIC.EXE. Эта программа проигрывает звуковые файлы и выводит следующие сообщения:

EL 11 DE JUNIO ES EL CUMPLEA╔OS DE CHAPANA CELEBREMOS!!!

CSP_CUMPLEA╔OS»ANDAHUAYLAS — APURIMAC — PERU1 DE ENERO DEL 2000(CHAPANA)

После этого вирус запускает свою программу CHAPANA.BAT, которая удаляет AUTOEXEC.BAT и CSP_C.BAS, затем переименовывает CSP_C_AU.BAT обратно в AUTOEXEC.BAT и в конце удаляет себя и C:WINDOWSCOMMANDQBASIC.EXE.