最近,一个通过映射驱动器和在线聊天系统传播的“萨利姆”(W97M/Salim.A)病毒被发现,据了解,W97M/Salim.A是一个宏病毒和通过在线聊天系统传播的蠕虫,除了在ThisDoc?ument模块中写入病毒代码外,它也在传播过程中截取文档内容。
“萨利姆”蠕虫依靠文档事件处理程序来运行,当一个已感染的文档被打开时,宏病毒就被激活,当染毒文档被关闭时,病毒的Document-Close宏将开始运行。与其它宏病毒不同,它并不使“宏病毒保护选项”失效,因此宏报警仍将显示。它在通用模板中执行一个“am I here”,的检查,比较它的This Document中第一行代码是否匹配′PIJAVICA,如果不匹配,所有在通用模板的This Document对象中的原代码将被删除,病毒的原代码将从目前文档插入目标对象。
之后,“萨利姆”病毒将尝试感染当前被Word打开的所有文档。然而,这种尝试将由于一个错误而失败。病毒将在C盘根目录生成文件Salim-se.doc和Win32Drv.doc,这两个文件是带有宏病毒代码的激活文档的两个复制文件。这两个文件含有激活文档的内容,能将敏感信息暴露给不被期望的浏览者。Salim-se.doc的一个副本也会在每个映射驱动器生成。
如果在一个已感染的系统中存在目录“C:\MIRC”,Script.ini文件将被创造或被覆盖,以使C:\Salim-se.doc能通过在线聊天系统送出。最后,Salim.A病毒将检查日期,如果是任意月的5号,它将在C盘根目录生成一个文本文件和一个批处理文件。
有关技术专家建议用户选择使用经过国际多家权威机构认证,具备完善实时反病毒、查杀多种压缩文件功能的反病毒软件。
|