Зловредный макро-вирус Chronic-A замечен в «диком виде»

WM97/Chronic-A — новый деструктивный макро-вирус для Word 97. Имеет сложный триггерный механизм, который при некоторых обстоятельствах может инициировать перезаписывание установок CMOS, а также порчу файлов в корневом и системном каталогах Windows.

Вирус ведет подсчет того, сколько раз он был запущен. Каждый 25 раз запуска вирусного кода (25, 50, 75, и.д.) злодей запускает свою специальнуюю программу, которая производит сложную серию проверок текущей даты.

Если значение дня текущей даты можно без остатка поделить на 5, то вирус предпринимает попытки изменить пароль используемого документа на значение, полученное из системы. Пароль будет в этом случае «1297307460».

Вирус заменяет первые 1020 байт в определенных файлах и добавляет в их конец «Karachi_y2k7». После данной процедуры файлы оказываются полностью неработоспособными. Вирус проделывает это только на машинах, работающих под Windows 95 или Windows 98. Файлы, на которые таким образом воздействует вирус:

«C:WINDOWSSOL.EXE»
«C:WINDOWSMSHEARTS.EXE»
«C:WINDOWSFREECELL.EXE»

Если значение дня текущей даты можно без остатка поделить на 3, то вирус портит следующие файлы:

«C:WINDOWSROUTE.EXE»
«C:WINDOWSPING.EXE»
«C:WINDOWSSYSTEMNETOS.DLL»
«C:WINDOWSSYSTEMNETDI.DLL»
«C:WINDOWSSYSTEMNETBIOS.DLL»
«C:WINDOWSSYSTEMNETAPI.DLL»
«C:WINDOWSSYSTEMNETAPI32.DLL»

Если значение дня текущей даты можно без остатка поделить на 3 и на 6, то вирус портит следующие файлы:

«C:WINDOWSSYSTEMNETCPL.CPL»
«C:WINDOWSSYSTEMINETCPL.CPL»
«C:WINDOWSSYSTEMMODEM.CPL»
«C:WINDOWSSYSTEMURL.DLL»
«C:WINDOWSSYSTEMSENDMAIL.DLL»
«C:WINDOWSSYSTEMMAPI32.DLL»
«C:WINDOWSSYSTEMINETCOMM.DLL»
«C:WINDOWSSYSTEMINETCFG.DLL»
«C:WINDOWSSYSTEMINETAB32.DLL»
«C:WINDOWSSYSTEMINET16.DLL»

Если значение дня текущей даты можно без остатка поделить на 3, на 6 и на 9, то вирус портит следующие файлы:

«C:WINDOWSSYSTEMLPT.VXD»
«C:WINDOWSSYSTEMSPOOL32.EXE»
«C:WINDOWSSYSTEMMSPRINT.DLL»
«C:WINDOWSSYSTEMMSPRINT2.DLL»

Если значение дня текущей даты можно без остатка поделить на 2, то вирус предпринимает попытки напечатать до 9-ти копий текущего документа.

Если значение дня текущей даты можно без остатка поделить на 4, то вирус модифицирует «C:WINDOWSWIN.COM», внедряя в него троянского коня Troj/KillCMOS-E. Этот троянец перезаписывает установки CMOS на зараженной машине случайными данными, что происходит при следующем перезапуске Windows.

Если значение дня текущей даты можно без остатка поделить на 6, то вирус копирует файл «C:WINDOWSWIN.COM» в «WIN.ORG» и затем создает новый «C:WINDOWSWIN.COM», который содержит троянского коня Troj/KillCMOS-E.