病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
宏病毒
病毒长度:
影响系统:
其它
病毒行为:
1.运行时解码从第11行到最后一行,产生Document_Close。
2.关闭宏病毒防护。当前日期为1时,则创建C:Autorun.inf文件,无任何提示删除C:上所有文件。
3.创建C:Betray.ini文件,内容为病毒代码。
4.删除原模板和文档中的代码,换之以病毒代码。文档存盘。
//这是一个明码与Word97Macro.Antisocial完全一样的病毒,但其解码后操作完全不一样。而密文内容又是随机的,不能
作为特征码。
//AVP的做法是将两者等同起来,当作一个病毒来处理。
//NAV能够检查出前者,不能检查出后者。
//PC-cillin应用启发式搜索对明码进行分析,结果显而易见,未发现病毒(明码是一段无任何病毒行为的代码)。
//RingSing可以查出这是两个不同的病毒,不知它采用了什么方法。
//建议:KAV先采用AVP的方法,将使用同一明码的病毒当作一个病毒来看待。以后可以针对这一类病毒的解码方法编写
特定的接口,将其解码,然后查毒。