病毒名称:W97M/Salim.A
其它名称:
病毒属性:文件型病毒 危害性:低危害 流行程度:低
具体介绍:
W97M/Salim.A 是一个宏病毒和通过在线聊天系统传播的蠕虫.除了在ThisDocument模块中写入病毒代码外,它也在传播过程中截取文档内容。
病毒介绍 Salim.A蠕虫依靠文档事件处理程序来运行,当一个已感染的文档被打开时,宏病毒被激活,当染毒文档被关闭时,病毒的Document_Close宏将运行。
与其它宏病毒不同,它并不使'宏病毒保护选项'失效,因此宏报警仍将显示。它在通用模板中执行一个'am I here'的检查,比较它的ThisDocument中第一行代码是否匹配'PIJAVICA.
如果不匹配,所有在通用模板的ThisDocument对象中的原代码将被删除,病毒的原代码将从目前文档插入目标对象。
然后,Salim病毒将尝试感染当前被Word打开的所有文档。然而,这种尝试将由于一个错误而失败。
Salim病毒将在C盘根目录生成文件Salim_se.doc和Win32Drv.doc,这两个文件是带有宏病毒代码的激活文档的两个复制文件。这两个文件含有激活文档的内容,能将敏感信息暴露给不被期望的浏览者。Salim_se.doc的一个副本也会在每个映射驱动器生成。
如果在一个已感染的系统中存在目录"C:MIRC",Script.ini文件将被创造或被覆盖,以使C:Salim_se.doc能通过在线聊天系统送出。
最后,Salim.A病毒将检查日期,如果是任意月的5号,它将在C盘根目录生产一个文本文件和一个批处理文件,并显示如下文本:
°°°°° °°°°° "
" °°°°°°°°° °°°°°°° "
" °°°°°°°°°°°°°°°°°°°°°°°"
" °°°°°°°±±±±±±±±±°°±±±±±±±±"
" °°°°°±±UUUUUUUU°°±UUUUUUUU greetz to:"
"°°°°°±UU° °°°°±UU°°UU AAAAAAAAAA "
"°°°°°±UU°° °°°°±UU°°°°U K04x"
" °°°±UU°°°° °°°±UU°°°°°°U e-mAn"
" °°°±UUUUUUUUU °°°±UU°UUUUUU rudeBoy"
" °°±UUUUUUU °°°±UU°UUUUUU abasi-"
" °°±UU°° °°±UU°°°° U vr4g"
" °±UU°°°° °±UU°°°°°°U SnakeLord"
" °±UUEBVL-2K ±UU°°°°°UU Morphex"
"°±UUUUUUUU UUUUUUUU Wex-Alpha"
W97M/Salim.A病毒的传播方式:
通过映射驱动器和在线聊天系统传播
