06.03.2000 TheThing - HTML, W97DOC, mIRC worm [CyberShadow]

                
                           Здраствуйте все!

      После   долгого   затишья   опять   вылазит  подлый  CyberShadow
 с  очередной  безумной  идеей  :).  Давным-давно прочитал я про вирус
 Anarchy.6933  который  и  вдохновил меня занятся скрипт-вирусами. Для
 тех  кто не в курсе: Anarchy.6933 заражает COM/EXE файлы и, используя
 хитрый  прием,  заражала  Word  документы  при  их  открытии Word'ом!
 Ручками  анализировался  формат  документа  и  дописывалась  секция с
 макросами,  которые и продолжали разносить вирус дальше. К сожалению,
 у  меня  на  такие  фокусы  мозгов  не  хватает  :(  Поэтому пришлось
 изварщаться.  Короче:  TheThing - мультиплатформенный вирус, заражает
 документы Word97, HTM? файлы, содержит фичу для распространения через
 IRC.  Короче  действует  как  обычный скрипт-вирус. НО! Через mIRC на
 машину "клиента" падает COM файл, который заражает Word97. Причем, не
 так,  как это делал в свое время Win.APPARITION от Lord ASD. Хоть это
 вирусяка  и мощная, но заражение Word происходило по тупому: если при
 сканировании  директорий  находился  файл  Normal.DOT, то он просто в
 лобовую   переписывался  зараженным  Normal.DOT,  причем  без  всяких
 проверок и прочего, кроме того, Win.APPARITION не распространялся via
 Word, а просто разносил другой вирус. У меня все не так как у людей:)
 СОМ  файло  при запуске (сам знаю, что mIRC вирии накрываются, но...)
 анализирует  системные переменные, находит WINDOWS и производит туеву
 хучу  модификаций с реестром, дабы поотключать нахрен все проверки на
 макро-вирусы   и  интернет  безопасность.  Одновременно  регистрирует
 инфицированный  index.htm  как  стартовую  страницу  для IE и на этом
 завершает  свою  работу  (можно прикрутить заражение COM/EXE, но пока
 лениво:). При запуске IE загружается index.htm и заражает Word. А уже
 Word находит mIRC, заражает его, заражает *.DOC, шарится в переменной
 PATH  для  поиска  *.HTM? файлов, заражает их. Кроме того, из реестра
 дергается  адрес  папки "My documents" или "Мои документы" по нашему,
 там же происходит сканирование на предмет HTMLок. Вот!
исходники здесь