W97M.Verlor

Izvor: Wikipedija

W97M.Verlor je makro virus koji inficira dokumente Microsoft Worda '97 i 2000. Ovaj virus je također poznat kao W97M.Overlord.

Zatvaranje zaraženog dokumenta pokreće virus koji u glavni direktorij Windowsa (obično C:\windows\) snima dvije datoteke: tempad.dll i tempnt.dll (rutine infekcije[1]). Ove datoteke se dalje koriste za inficiranje svakog sljedećeg otvorenog dokumenta kao i glavnih predložaka od kojih se započinju novi dokumenti. Virus također pravi datoteku C:\Himem.sys, u kojoj smješta popis zaraženih dokumenata.

Virus također za sobom ostavlja ili koristi datoteke overlord.b.vbs i overlord.b.dll.[2]

Ako korisnik pokuša pristupiti Visual Basic editoru (Tools -> Macros -> Visual Basic Editor) kojim bi virus mogao biti otkriven, biva pokrenuta virusova funkcija koja mijenja naziv korisnika na „The Overlord“, a potom u Windowsovu datoteku win.ini dodaje liniju[2]:

run = <Direktorij Windowsa>\overlord.b.vbs tako da izvrši datoteku overlord.b.vbs po sljedećem podizanju sustava. Potom virus sam sebe briše iz glavnog predloška i svih aktivnih dokumenata, što onemogućava njegovo pronalaženje putem pokrenutog alata.

Po svom pokretanju, overlord.b.vbs ponovo inficira glavni predložak i sve datoteke čija su imena zapisana u C:\Himem.sys.[3]

Ako korisnik pokuša pristupiti popisu makroa (Tools -> Macros -> Macro) virus se briše iz glavnog predloška i svih aktivnih dokumenata prije otvaranja prozora. Ovo onemogućava da se virus nađe u popisu prisutnih makroa. Po zatvaranju dijaloga, virus opet zaražava sve aktivne dokumente i glavni predložak.

Izvori[uredi | uredi kôd]