病毒名稱
W97M/Salim.A病毒屬性
檔案型病毒 危害性:低危害 流行程度:低具體介紹
W97M/Salim.A 是一個 宏病毒和通過 線上聊天系統傳播的 蠕蟲.除了在 ThisDocument模組中寫入 病毒代碼外,它也在傳播過程中截取文檔內容。病毒介紹 Salim.A蠕蟲依靠文檔事件處理程式來運行,當一個已感染的 文檔被打開時, 宏病毒被激活,當染毒文檔被關閉時,病毒的Document_Close宏將運行。
與其它 宏病毒不同,它並不使'宏病毒保護選項'失效,因此宏報警仍將顯示。它在通用模板中執行一個'am I here'的檢查,比較它的ThisDocument中第一行代碼是否匹配'PIJAVICA.
如果不匹配,所有在通用模板的ThisDocument對象中的原代碼將被刪除,病毒的原代碼將從目前文檔插入目標對象。
然後,Salim病毒將嘗試感染當前被Word打開的所有文檔。然而,這種嘗試將由於一個錯誤而失敗。
Salim病毒將在C糟根目錄生成檔案Salim_se.doc和Win32Drv.doc,這兩個檔案是帶有宏病毒代碼的激活文檔的兩個複製檔案。這兩個檔案含有激活文檔的內容,能將敏感信息暴露給不被期望的瀏覽者。Salim_se.doc的一個副本也會在每個映射驅動器生成。
如果在一個已感染的系統中存在目錄"C:\MIRC",Script.ini檔案將被創造或被覆蓋,以使C:\Salim_se.doc能通過線上聊天系統送出。
最後,Salim.A病毒將檢查日期,如果是任意月的5號,它將在C糟根目錄生產一個文本檔案和一個批處理檔案,並顯示如下文本:
° °°°° °°°°° "
" °°°°°°°°° °°°°°°° "
" °°°°°°°°°°°°°°°°°°°°°°°"
" °°°°°°°±±±±±±±±±°°±±±±±±±±"
" °°°°°±± uuuuuuuU°°± uuuuuuUU greetz to:"
" °°°°°±UU° °°°°±UU°°UU AAAAAAAAAA "
" °°°°°±UU°° °°°°±UU°°°°U K04x"
" °°°±UU°°°° °°°±UU°°°°°°U e-mAn"
" °°°±UUUUUUUUU °°°±UU°UUUUUU rudeBoy"
" °°±UUUUUUU °°°±UU°UUUUUU abasi-"
" °°±UU°° °°±UU°°°° U vr4g"
" °±UU°°°° °±UU°°°°°°U SnakeLord"
" °±UUEBVL-2K ±UU°°°°°UU Morphex"
" °±UUUUUUUU UUUUUUUU Wex-Alpha"
W97M/Salim.A病毒的傳播方式:
通過映射驅動器和線上聊天系統傳播
