W97M.Trug.A – a rendszert két vállra fektető makróvírus

A makróvírus paraméterei

Felfedezésének ideje: 2003. február 13.
Utolsó frissítés ideje: 2003. február 13.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Microsoft IIS, Unix, OS/2
Mérete: 6.205 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– akkor aktiválódik, amikor egy fertőzött dokumentumot megnyit vagy lezár a felhasználó
– letiltja a Word számos toolbarját
– eltünteti a shortcut kulcsokat, így a makró modulok láthatatlanná válnak
– letiltja a makróvírus védelmet
– letörli az összes makrómodult a Normal.dot állományból, kivételt egyedül a ThisDocument modullal tesz
– saját kódját exportálja és elmenti egy szövegfile-ba (Trugfile.txt)
– leellenőrzi, a Normal.dot állomány fertőzött-e; ha nem, hozzáadja magát a fenti szövegfile-ból kimásolván kódját (a modulnak a ThisDocument nevet adja)
– letörli a Trugfile.txt file-t
– minden hónap 18-án létrehozza a C meghajtó gyökerében a Trugsting.msg.txt állományt, mely a vírus készítőjének üzenetét hordozza
– minden hónap 22-én létrehozza az autoexec.bat állományt, melyben számos, a rendszer részét képező állományok letörlésére irányuló parancs található