病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
宏病毒
病毒长度:
影响系统:
其它
病毒行为:
1.设置Excel的工作表激活事件为“ShiverTime”函数,其执行操作为:
a.在“Int(Rnd*800)=601”概率下,为30个随机单元格加上批注,内容为“Shiver[DDE]byALT-F11”。
b.导出病毒代码至“c:shiver.sys”。
c.使“窗口”菜单的“取消隐藏”命令和“工具”菜单的“宏”命令不可用(好象只能在英语版中有效)。
d.检查激活的工作簿中是否有“Module1”模块,若无则导入“c:shiver.sys”存盘。
e.检查Excel的启动目录下是否有“personal.xls”文件,若无则创建此文件,导入“c:shiver.sys”后存盘,且
其编辑窗口不可见。
f.检查“c:o6.reg”或“c:o6.bat”是否存在,若不存在,则创建这两个文件
(前者为在“[HKEY_CURRENT_USERSoftwareMicrosoftOffice8.0ExcelMicrosoftExcel]”增加主键“"Options6"”,值为dword:00000000;
后者为在注册表中引入前者)
2.工作簿关闭时执行:
a.检查病毒记号(即在“HKEY_CURRENT_USERSoftwareVBandVBAProgramSettingsOffice8.0”下“Shiver[DDE]”值是否为“ALT-F11”)。
b.获得Word的窗口句柄。
c.假如无病毒记号且未发现Word窗口,则启动Word并建立DDE通道为其导入“c:shiver.sys”文件到模板中。
d.运行“c:o6.bat”。
e.在概率“Init(Rnd*30)=5”下,若启动目录下无“Word8.dot”文件、有病毒记号、且不是刚刚运行过,且在“HKEY_CURRENT_USERSoftware
VBandVBAProgramSettingsOffice8.0”下设置“Shiver[DDE]”键值为“NoNoNo”。
3.启动Word时,
a.在模板的“ThisDocument”中生成“ToolsMacro”、“FileTemplates”和“ViewVBCode”等函数(内容为空)。
b.生成“c:sentry.sys”文件。
c.在Word启动目录下创建“Word8.dot”,在其中导入“c:sentry.sys”,然后关闭。
4.打开Word文档时,
a.关闭“VisualBasic编辑器”。
b.在概率“Int(Rnd*75)=60”下,修改Word窗口的部分菜单标题。
c.在概率“Int(Rnd*400)=188”下,生成“c:sister.dll”,然后用“写字板”打开它。
d.关闭宏病毒防护,保存模板提示以及打开确认转换。
e.设置注册表(与1f相同)。
f.导出病毒代码“c:shiver.sys”。
g.为目标模块导入病毒代码,执行感染。
5.退出Word时,
a.检查病毒记号。
b.获得Excel的窗口句柄。
c.若无病毒记号且未发现Excel窗口,则启动Excel并导入“c:shiver.sys”。
d.在概率“Init(Rnd*30)=5”下,若启动目录下无“personal.xls”文件、有病毒记号、且不是刚刚运行过,且在“HKEY_CURRENT_USERSoftware
VBandVBAProgramSettingsOffice8.0”下设置“Shiver[DDE]”键值为“NoNoNo”。
