13 июля 2000 г.

Антивирусная лаборатория ╚ЦЕБИТ╩ со ссылкой на компанию Sophos сообщила об обнаружении новой разновидности макро-вируса Marker.

    Новый клон получил название Marker-ER. Он инфицирует документы и шаблоны MS WORD при открытии и закрытии документов WORD. Вирус не заражает повторно уже инфицированные документы, проверяя содержится ли в них его подпись - "TJ780611". Если не находит, то перед инфицированием вирус удаляет все макро-коды из модуля ThisDocument.

    Этот вирус имеет способность к самокопированию, удаляя во время этого процесса все .dot и .doc файлы в каталоге, где WORD по умолчанию сохраняет свои документы. Вирус также изменяет некоторые свойства WORD, такие как UserName, UserInitials и UserAddress: UserName на "TJ 2000", UserInitials на "TJY2K", UserAddress на [email protected].

    11-го числа каждого месяца вирус создает файл "TJ.HTML", содержащий несколько стихотворных строк о женщинах, и выводит его на дисплей в качестве обоев после перезагрузки Windows. Если текущая системная дата больше 11, то вирус автоматически удаляет из системного реестра запись, отображающую этот HTML-файл.

    Рекомендации по борьбе с MARKER.EF

    1.Нажмите START|RUN
Наберите REGEDIT и затем нажмите клавишу ENTER
2.На левой панели кликните на значок "+" напротив следующего:
HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Run
3.Найдите на правой панели ключ, который содержит значение WOMAN = "C:\WINDOWS\TJ.htm" и удалите его.
4.На левой панели нажмите на значок "+" рядом с:
HKEY_CURRENT_USER
Software
Microsoft
Internet Explorer
Desktop
General
5.На правой панели найдите ключ, содержащий следующее: Wallpaper = "C:\WINDOWS\TJ.htm".
6.Сделайте необходимые изменения в содержании этого ключа. Здесь содержится команда для Windows отображать TJ.htm в виде обоев.
7.Закройте редактор системного реестра.
8.Удалите файл "c:\windows\tj.htm".
9.Просканируйте ваш компьютер антивирусом, который способен найти документы MS Word, зараженные Marker.

    По материалам пресс-релиза "ЦЕБИТ".