概述
病毒別名:處理時間:
威脅級別:★
中文名稱:
病毒類型:宏病毒
影響系統:
病毒行為:
1. 設定Excel的工作表激活事件為“ShiverTime”函式,其執行操作為:a. 在“Int(Rnd * 800) = 601”機率下,為 30 個隨機單元格加上批註,內容為“Shiver【DDE】 by ALT-F11”。
b. 導出病毒代碼至“c:shiver.sys”。
c. 使“視窗”選單的“取消隱藏”命令和“工具”選單的“宏”命令不可用(好象只能在英語版中有效)。
d. 檢查激活的工作簿中是否有“Module1”模組,若無則導入“c:shiver.sys”存檔。
e. 檢查 Excel 的啟動目錄下是否有“personal.xls”檔案,若無則創建此檔案,導入“c:shiver.sys”後存檔,且
其編輯視窗不可見。
f. 檢查“c:o6.reg”或“c:o6.bat”是否存在,若不存在,則創建這兩個檔案
(前者為在“【HKEY_CURRENT_USERSoftwareMicrosoftOffice8.0ExcelMicrosoft Excel】”增加主鍵“"Options6"”,值為 dword:00000000;
後者為在註冊表中引入前者)
2. 工作簿關閉時執行:
a. 檢查病毒記號(即在“HKEY_CURRENT_USERSoftwareVB and VBA Program SettingsOffice8.0”下“Shiver【DDE】”值是否為“ALT-F11”)。
b. 獲得 Word 的視窗句柄。
c. 如果無病毒記號且未發現 Word 視窗,則啟動 Word 並建立 DDE 通道為其導入“c:shiver.sys”檔案到模板中。
d. 運行“c:o6.bat”。
e. 在機率“Init(Rnd * 30) = 5”下,若啟動目錄下無“Word8.dot”檔案、有病毒記號、且不是剛剛運行過,且在“HKEY_CURRENT_USERSoftware
VB and VBA Program SettingsOffice8.0”下設定“Shiver【DDE】”鍵值為“NoNoNo”。
3. 啟動 Word 時,
a. 在模板的“ThisDocument”中生成“ToolsMacro”、“FileTemplates”和“ViewVBCode”等函式(內容為空)。
b. 生成“c:sentry.sys”檔案。
c. 在 Word 啟動目錄下創建“Word8.dot”,在其中導入“c:sentry.sys”,然後關閉。
4. 打開 Word 文檔時,
a. 關閉“Visual Basic 編輯器”。
b. 在機率“Int(Rnd * 75) = 60”下,修改 Word 視窗的部分選單標題。
c. 在機率“Int(Rnd * 400) = 188”下,生成“c:sister.dll”,然後用“寫字板”打開它。
d. 關閉宏病毒防護,保存模板提示以及打開確認轉換。
e. 設定註冊表(與 1f 相同)。
f. 導出病毒代碼“c:shiver.sys”。
g. 為目標模組導入病毒代碼,執行感染。
5. 退出 Word 時,
a. 檢查病毒記號。
b. 獲得 Excel 的視窗句柄。
c. 若無病毒記號且未發現 Excel 視窗,則啟動 Excel 並導入“c:shiver.sys”。
d. 在機率“Init(Rnd * 30) = 5”下,若啟動目錄下無“personal.xls”檔案、有病毒記號、且不是剛剛運行過,且在“HKEY_CURRENT_USERSoftware
VB and VBA Program SettingsOffice8.0”下設定“Shiver【DDE】”鍵值為“NoNoNo”。