Bacros: il virus vecchio stile

Sembra incredibile, eppure nel 2004 esistono ancora i virus che si diffondono via floppy. Ne è un tipico esempio il virus Bacros, isolato nei primi giorno di Settembre.
Il virus si diffonde attraverso i documenti di word, i floppy e i cdrom.
Scritto in Borland Delphi, le dimensioni di Bacros sono di 356352 bytes.

Una volta lanciato il file infetto il virus si installa sotto la directory di sistema di Windows come
%WinSysDir%\mssys.exe
%WinSysDir%\sys.exe
%WinSysDir%\msdosdrv.exe

e aggiunge le seguenti voci di registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"MSSys" = "%WinSysDir%\mssys.exe -d"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"MSDosdrv" = "%WinSysDir%\msdosdrv.exe -t"

Al successivo riavvio il virus sarà eseguito con i parametri -d e -t.

Con il parametro -t il virus crea un documento Word infetto con la macro W97M/Bacros.A all'interno della cartella documenti e all'interno della directory di sistema con il nome di "WordInfo.doc". Inoltre tenta di disabilitare da registro la protezione di MS Office dai macro virus.

Con il parametro -d il virus controlla la data del sistema. Se il giorno del mese è il 10, 20 o 30 il virus apre il file WordInfo.doc lanciando di conseguenza la macro che infetta il file Normal.dot. Tutti i documenti che verranno aperti o chiusi verranno infettati dalla macro.
Inoltre la macro tenta di copiare il file sys.exe all'interno del floppy come ReadMy.exe, ma dopo un'analisi sembra che la funzione sia buggata.

Se il giorno del mese è qualunque altro esclusi quelli sopra elencati, il virus tenta di infettare i cdrom.
Bacros tenta di scrivere il file ReadMy.exe all'interno di un CD-R, con relativo Autorun.inf in modo da essere eseguito automaticamente quando il cd verrà inserito nel computer. Questa procedura funzionerà solamente se il pc ha un masterizzatore e ha installato un programma di packet-writing tipo Nero InCD.

Se il giorno del mese è il 2 il virus cerca su tutti gli hard disk i files .txt e crea una copia di sé stesso per ogni file trovato con il nome del file di testo.

Se il giorno del mese è il 1 il virus rimpiazza tutti i files .gif all'interno degli hard disk con una gif contenente il testo "Kuole Jehova". La frase, finlandese, starebbe a significare "Muori Jehovah".

Se la data del mese è il 6 Dicembre, il giorno d'indipendenza finlandese, il virus inserisce come background sul desktop una piccola bandiera finlandese.

Se la data è il 25 Dicembre, infine, il virus cancella tutti i files sull'hard disk.

Per chi insomma pensava che virus del genere fossero oramai estinti, Bacros ne è una testimonianza "vivente".