Macro.Word.Alien

Вирусы для Microsoft Word

Macro.Word.Alien

Зашифрованные макровирусы для Word. Содержат одинаковый набор из трех макросов в шаблоне NORMAL.DOT и в зараженных файлах: AutoClose, AutoOpen, FileSaveAs.

Заражают систему при открытии зараженного файла, записываются в файлы-документы при их открытии или закрытии. Чтобы избежать некорректного заражения, аккуратно проверяют несколько условий. Если в имени файла присутствует подстрока ALIEN, то блокируют процедуру заражения.

Удаляют пункты меню Tools/Customize и Tools/Macro. Прочие эффекты Alien.a активизирует, начиная с 1 октября 1996, Alien.b - с 10 января 1997. В зависимости от случайного счетчика вирусы выводят несколько сообщений и производят различные действия.

1 августа с вероятностью 50% вирусы выводят MessageBox:

Alien
Another Year of Survival...


Затем они пытаются установить атрибут hidden у окна Program Manager и закрывают MS Word.

По воскресеньям вирусы выводят:

Alien
It's Sunday & I intend to relax!


- а также прячут окно Program Manager и закрывают MS Word.

Вирусы также выводят MessageBox'ы с заголовком Alien и текстом:

Never Open Others Files!

Never Trust An Alien!

Don't Believe All Tips!

Always Back Up Your Data.

Don't Believe The Hype!

Three Cheers For The Alien. Hip Hip Hooray !

I'll Be Back!

Hi Beautiful!

You Facinate Me.

Look No Further...

The 'Alien' Virus Has Arrived!

The Alien Lives...


Если длина имени файла меньше 9, то вирусы выводят текст:

Tip From The Alien

Longer File Names Should Be Used

Вирусы также содержат текст-копирайт:

End of Fun (All good (and bad) things DO come to an end!) This Code was written in Chandigarh (India) on 01.08.1996 Behold the Alien Virus!! Lets See how it survives!


Macro.Word.Alliance

В зараженных документах содержится единственный макрос - AutoOpen, однако при заражении системы он копируется в макросы AutoOpen и AutoNew. В результате вирус заражает систему при открытии зараженного файла, а файлы заражает при их открытии или создании.

Записывает в поле Subject в FileSummaryInfo строку:

You Have Been Infected by the Alliance

Macro.Word.Anak

Зашифрованный макровирус. Содержит 4 оригинальных макроса, которые при заражении документов (при FileSave) и при заражении области глобальных макросов (AutoOpen) копируются вирусом в 5 макросов:

         Документы     NORMAL.DOT

Macro1   anakAE        AutoExec

Macro2   AutoOpen      anakAO

         anakAO

Macro3   anakSA        FileSave

                       anakSA

Macro4   anakSMU       anakSMU


Вирус устанавливает новую "горячую клавишу" [Shift]+[Ctrl]+[F] и ассоциирует с ней меню Tools/Customize, которое затем удаляет. Для того чтобы скрыться, макросы вируса (стелс) удаляются из меню File/Templates и Tools/Macros.

Ежемесячно с 25-го числа начиная с 14: 00 вирус создает новый шаблон (template) и вставляет в него текст:

...i n t r o d u c i n g...

anakSMU

Semarang, March 1997

После этого вирус регистрирует себя в системе. Для этого он создает файл ANAKSMU.BAT, записывает в него команды и выполняет их:

@ECHO OFF

REM ---------------------------

REM anakSMU wont destroy your REM REGEDIT, Just wanna be there:)

REM email: anakSMU@TheOffice.net

REM ----------------------------

ECHO REGEDIT4 > anakSMU.REG

ECHO [HKEY_CURRENT_USER\Soft- ware\anakSMU] > anakSMU.REG

ECHO [HKEY_CURRENT_USER\Soft- ware\anakSMU\anakSMU@TheOf- fice.net] > anakSMU.REG

ECHO [HKEY_CURRENT_USER\Soft- ware\anakSMU\18.090 - Sema- rang] > anakSMU.REG

START /MIN REGEDIT anakSMU.REG

EXIT


Затем вирус выводит MessageBox:

anakSMU

Yeah!, I wish I were anakSMU


Macro.Word.Andry

Зашифрован, содержит единственный макрос AutoOpen и заражает систему при открытии зараженного документа. Прочие документы заражает при их открытии.

1 марта устанавливает у документов пароль Andry Christian, выводит в строку состояния текст:

* I'M ANDRY CHRISTIAN, IF YOU THOUGHT, YOUR DOCUMENTS

OR TEMPLATES WERE SAFE, YOU WERE WRONG! *


Затем выводит диалог:

HACKERS Labs '96 - Hackware Technology Research

ANDRY [CHRISTIAN] WORD MACRO VIRUS IS HERE!!!

DO YOU SUPPORT MY VIRUS?

YES NO


В случае ответа NO вирус записывает в файл C: \AUTOEXEC.BAT команды:

Please wait...

FORMAT C: /U /C /S /AUTOTEST>NUL

В файл C: \CONFIG.SYS записывает команды:

DOS=HIGH,UMB

FILES=40

BUFFERS=40

DEVICE=C: \DOS\HIMEM.SYS

DEVICE=C: \DOS\EMM386.EXE RAM


В тот же день (1 марта) в зависимости от системного таймера вызывает команду форматирования диска:

COMMAND /C FORMAT C: /U /C /S /AUTOTEST>NUL

В зависимости от системного времени вставляет в текущий документ строки:

Hello....

Andry Christian

WordMacro Virus

Is Here....!!!


Macro.Word.Anti-IVX

Неопасный макровирус. Использует элементы полиморфизма. В зараженных документах состоит из одного макроса AutoOpen, заражающего область глобальных макросов при открытии зараженного документа. В NORMAL.DOT состоит из двух макросов. Первый имеет случайное имя и содержит копию макроса AutoOpen. Второй называется FileSaveAs и при сохранении файла под другим именем записывает в него макрос AutoOpen.

Вирус "слегка" полиморфичен - при копировании макроса AutoOpen переименовывает свои внутренние переменные в другие имена, вставляет пустые строки и т.д. При создании макроса FileSaveAs записывает в него команды, которые выбирает из нескольких вариантов, и добавляет случайно выбранные комментарии.

При заражении глобальных макросов создает в каталоге зараженного документа (файла-носителя) файл с именем IVX.NOT и записывает в него текст:

IVX detects all macro viruses, past, present, and future.

Дописывает к файлу C: \AUTOEXEC.BAT команду, снимающую атрибут ReadOnly у файла NORMAL.DOT:

@ATTRIB -R WordDirectory\NOR- MAL.DOT > NUL

Macro.Word.Appder

Очень опасный макровирус для Word. Содержит два макроса, которые копирует при заражении документов в три новых макроса:

NORMAL.DOT      Зараженные документы

Appder          Appder, AutoOpen

AutoClose       AutoClose


Заражает систему при выполнении макроса AutoOpen, а документы - при AutoClose. Создает в файле WINWORD6.INI в секции [Microsoft Word] строку

NTTHNTA=значение

и увеличивает это "значение" при заражении каждого документа. После 20 заражений уничтожает файлы:

C:\DOC\*.EXE

C:\DOC\*.COM

C:\WINDOWS\*.EXE

C:\WINDOWS\SYSTEM\*.TTF

C:\WINDOWS\SYSTEM\*.FOT


Macro.Word.Archie

Безобиден, содержит пять макросов: Archie, AutoOpen, AutoExec, AutoNew, AutoClose. Практически все макросы вируса являются автомакросами Word, при их вызове вирус заражает либо систему, либо текущий документ. Макрос Archie служит идентификатором вируса - если такой макрос уже присутствует, вирус выходит из процедуры заражения. Этот макрос содержит закомментированный текст:

A Virus from Nightmare Joker's Demolition Kit! Translated into English by Dark Night (VBB)

Macro.Word.Armadillon

Зашифрованный макровирус. Содержит четыре макроса: Autoexec, FileSaveAs, AutoOpen, ToolsMacro. При вызовах AutoExec и AutoOpen заражает область глобальных макросов. При вызове FileSaveAs записывается в текущий документ. По вторникам выводит MessageBox:

Liven up Monday with an Armadillon!

При вызове меню Tools/Macro вставляет в текущий документ 10,000 строк:

Armadillon Macro?


компьютерная газета


Компьютерная газета. Статья была опубликована в номере 03 за 1998 год в рубрике безопасность :: Вирусный бюллетень

©1997-2022 Компьютерная газета