§ 概述

病毒别名：

处理时间：

威胁级别：★

中文名称：

病毒类型：宏病毒

影响系统：

§ 病毒行为:

1. 设置Excel的工作表激活事件为“ShiverTime”函数，其执行操作为：

a. 在“Int(Rnd * 800) = 601”概率下，为 30 个随机单元格加上批注，内容为“Shiver【DDE】 by ALT-F11”。

b. 导出病毒代码至“c:shiver.sys”。

c. 使“窗口”菜单的“取消隐藏”命令和“工具”菜单的“宏”命令不可用(好象只能在英语版中有效)。

d. 检查激活的工作簿中是否有“Module1”模块，若无则导入“c:shiver.sys”存盘。

e. 检查 Excel 的启动目录下是否有“personal.xls”文件，若无则创建此文件，导入“c:shiver.sys”后存盘，且

其编辑窗口不可见。

f. 检查“c:o6.reg”或“c:o6.bat”是否存在，若不存在，则创建这两个文件

(前者为在“【HKEY_CURRENT_USERSoftwareMicrosoftOffice8.0ExcelMicrosoft Excel】”增加主键“"Options6"”，值为 dword:00000000；

后者为在注册表中引入前者)

2. 工作簿关闭时执行：

a. 检查病毒记号(即在“HKEY_CURRENT_USERSoftwareVB and VBA Program SettingsOffice8.0”下“Shiver【DDE】”值是否为“ALT-F11”)。

b. 获得 Word 的窗口句柄。

c. 如果无病毒记号且未发现 Word 窗口，则启动 Word 并建立 DDE 通道为其导入“c:shiver.sys”文件到模板中。

d. 运行“c:o6.bat”。

e. 在概率“Init(Rnd * 30) = 5”下，若启动目录下无“Word8.dot”文件、有病毒记号、且不是刚刚运行过，且在“HKEY_CURRENT_USERSoftware

VB and VBA Program SettingsOffice8.0”下设置“Shiver【DDE】”键值为“NoNoNo”。

3. 启动 Word 时，

a. 在模板的“ThisDocument”中生成“ToolsMacro”、“FileTemplates”和“ViewVBCode”等函数(内容为空)。

b. 生成“c:sentry.sys”文件。

c. 在 Word 启动目录下创建“Word8.dot”，在其中导入“c:sentry.sys”，然后关闭。

4. 打开 Word 文档时，

a. 关闭“Visual Basic 编辑器”。

b. 在概率“Int(Rnd * 75) = 60”下，修改 Word 窗口的部分菜单标题。

c. 在概率“Int(Rnd * 400) = 188”下，生成“c:sister.dll”，然后用“写字板”打开它。

d. 关闭宏病毒防护，保存模板提示以及打开确认转换。

e. 设置注册表(与 1f 相同)。

f. 导出病毒代码“c:shiver.sys”。

g. 为目标模块导入病毒代码，执行感染。

5. 退出 Word 时，

a. 检查病毒记号。

b. 获得 Excel 的窗口句柄。

c. 若无病毒记号且未发现 Excel 窗口，则启动 Excel 并导入“c:shiver.sys”。

d. 在概率“Init(Rnd * 30) = 5”下，若启动目录下无“personal.xls”文件、有病毒记号、且不是刚刚运行过，且在“HKEY_CURRENT_USERSoftware

VB and VBA Program SettingsOffice8.0”下设置“Shiver【DDE】”键值为“NoNoNo”。

• 神虬
• 神蛇
• 神蛎散
• 神蛟
• 神蜓壮阳露
• 神融气泰
• 神蟾谷精丹
• 神行
• 神行太保
• 神行法
• 神衣
• 神裁法
• 神视
• 神解
• 神诀
• 神话
• 神话时代
• 神话祖玛
• 神话语的职事
• 神诞
• 神语
• 神课
• 神谟
• 神谟庙算
• 神谟远算