Macro.Word.Alien
Вирусы для Microsoft Word
Macro.Word.Alien
Зашифрованные макровирусы для Word. Содержат одинаковый набор из трех макросов в шаблоне NORMAL.DOT и в зараженных файлах: AutoClose, AutoOpen, FileSaveAs.
Заражают систему при открытии зараженного файла, записываются в файлы-документы при их открытии или закрытии. Чтобы избежать некорректного заражения, аккуратно проверяют несколько условий. Если в имени файла присутствует подстрока ALIEN, то блокируют процедуру заражения.
Удаляют пункты меню Tools/Customize и Tools/Macro. Прочие эффекты Alien.a активизирует, начиная с 1 октября 1996, Alien.b - с 10 января 1997. В зависимости от случайного счетчика вирусы выводят несколько сообщений и производят различные действия.
1 августа с вероятностью 50% вирусы выводят MessageBox:
Alien
Another Year of Survival...
Затем они пытаются установить атрибут hidden у окна Program Manager и закрывают MS Word.
По воскресеньям вирусы выводят:
Alien
It's Sunday & I intend to relax!
- а также прячут окно Program Manager и закрывают MS Word.
Вирусы также выводят MessageBox'ы с заголовком Alien и текстом:
Never Open Others Files!
Never Trust An Alien!
Don't Believe All Tips!
Always Back Up Your Data.
Don't Believe The Hype!
Three Cheers For The Alien. Hip Hip Hooray !
I'll Be Back!
Hi Beautiful!
You Facinate Me.
Look No Further...
The 'Alien' Virus Has Arrived!
The Alien Lives...
Если длина имени файла меньше 9, то вирусы выводят текст:
Tip From The Alien
Longer File Names Should Be Used
Вирусы также содержат текст-копирайт:
End of Fun (All good (and bad) things DO come to an end!) This Code was written in Chandigarh (India) on 01.08.1996 Behold the Alien Virus!! Lets See how it survives!
Macro.Word.Alliance
В зараженных документах содержится единственный макрос - AutoOpen, однако при заражении системы он копируется в макросы AutoOpen и AutoNew. В результате вирус заражает систему при открытии зараженного файла, а файлы заражает при их открытии или создании.
Записывает в поле Subject в FileSummaryInfo строку:
You Have Been Infected by the Alliance
Macro.Word.Anak
Зашифрованный макровирус. Содержит 4 оригинальных макроса, которые при заражении документов (при FileSave) и при заражении области глобальных макросов (AutoOpen) копируются вирусом в 5 макросов:
Документы NORMAL.DOT
Macro1 anakAE AutoExec
Macro2 AutoOpen anakAO
anakAO
Macro3 anakSA FileSave
anakSA
Macro4 anakSMU anakSMU
Вирус устанавливает новую "горячую клавишу" [Shift]+[Ctrl]+[F] и ассоциирует с ней меню Tools/Customize, которое затем удаляет. Для того чтобы скрыться, макросы вируса (стелс) удаляются из меню File/Templates и Tools/Macros.
Ежемесячно с 25-го числа начиная с 14: 00 вирус создает новый шаблон (template) и вставляет в него текст:
...i n t r o d u c i n g...
anakSMU
Semarang, March 1997
После этого вирус регистрирует себя в системе. Для этого он создает файл ANAKSMU.BAT, записывает в него команды и выполняет их:
@ECHO OFF
REM ---------------------------
REM anakSMU wont destroy your REM REGEDIT, Just wanna be there:)
REM email: anakSMU@TheOffice.net
REM ----------------------------
ECHO REGEDIT4 > anakSMU.REG
ECHO [HKEY_CURRENT_USER\Soft- ware\anakSMU] > anakSMU.REG
ECHO [HKEY_CURRENT_USER\Soft- ware\anakSMU\anakSMU@TheOf- fice.net] > anakSMU.REG
ECHO [HKEY_CURRENT_USER\Soft- ware\anakSMU\18.090 - Sema- rang] > anakSMU.REG
START /MIN REGEDIT anakSMU.REG
EXIT
Затем вирус выводит MessageBox:
anakSMU
Yeah!, I wish I were anakSMU
Macro.Word.Andry
Зашифрован, содержит единственный макрос AutoOpen и заражает систему при открытии зараженного документа. Прочие документы заражает при их открытии.
1 марта устанавливает у документов пароль Andry Christian, выводит в строку состояния текст:
* I'M ANDRY CHRISTIAN, IF YOU THOUGHT, YOUR DOCUMENTS
OR TEMPLATES WERE SAFE, YOU WERE WRONG! *
Затем выводит диалог:
HACKERS Labs '96 - Hackware Technology Research
ANDRY [CHRISTIAN] WORD MACRO VIRUS IS HERE!!!
DO YOU SUPPORT MY VIRUS?
YES NO
В случае ответа NO вирус записывает в файл C: \AUTOEXEC.BAT команды:
Please wait...
FORMAT C: /U /C /S /AUTOTEST>NUL
В файл C: \CONFIG.SYS записывает команды:
DOS=HIGH,UMB
FILES=40
BUFFERS=40
DEVICE=C: \DOS\HIMEM.SYS
DEVICE=C: \DOS\EMM386.EXE RAM
В тот же день (1 марта) в зависимости от системного таймера вызывает команду форматирования диска:
COMMAND /C FORMAT C: /U /C /S /AUTOTEST>NUL
В зависимости от системного времени вставляет в текущий документ строки:
Hello....
Andry Christian
WordMacro Virus
Is Here....!!!
Macro.Word.Anti-IVX
Неопасный макровирус. Использует элементы полиморфизма. В зараженных документах состоит из одного макроса AutoOpen, заражающего область глобальных макросов при открытии зараженного документа. В NORMAL.DOT состоит из двух макросов. Первый имеет случайное имя и содержит копию макроса AutoOpen. Второй называется FileSaveAs и при сохранении файла под другим именем записывает в него макрос AutoOpen.
Вирус "слегка" полиморфичен - при копировании макроса AutoOpen переименовывает свои внутренние переменные в другие имена, вставляет пустые строки и т.д. При создании макроса FileSaveAs записывает в него команды, которые выбирает из нескольких вариантов, и добавляет случайно выбранные комментарии.
При заражении глобальных макросов создает в каталоге зараженного документа (файла-носителя) файл с именем IVX.NOT и записывает в него текст:
IVX detects all macro viruses, past, present, and future.
Дописывает к файлу C: \AUTOEXEC.BAT команду, снимающую атрибут ReadOnly у файла NORMAL.DOT:
@ATTRIB -R WordDirectory\NOR- MAL.DOT > NUL
Macro.Word.Appder
Очень опасный макровирус для Word. Содержит два макроса, которые копирует при заражении документов в три новых макроса:
NORMAL.DOT Зараженные документы
Appder Appder, AutoOpen
AutoClose AutoClose
Заражает систему при выполнении макроса AutoOpen, а документы - при AutoClose. Создает в файле WINWORD6.INI в секции [Microsoft Word] строку
NTTHNTA=значение
и увеличивает это "значение" при заражении каждого документа. После 20 заражений уничтожает файлы:
C:\DOC\*.EXE
C:\DOC\*.COM
C:\WINDOWS\*.EXE
C:\WINDOWS\SYSTEM\*.TTF
C:\WINDOWS\SYSTEM\*.FOT
Macro.Word.Archie
Безобиден, содержит пять макросов: Archie, AutoOpen, AutoExec, AutoNew, AutoClose. Практически все макросы вируса являются автомакросами Word, при их вызове вирус заражает либо систему, либо текущий документ. Макрос Archie служит идентификатором вируса - если такой макрос уже присутствует, вирус выходит из процедуры заражения. Этот макрос содержит закомментированный текст:
A Virus from Nightmare Joker's Demolition Kit! Translated into English by Dark Night (VBB)
Macro.Word.Armadillon
Зашифрованный макровирус. Содержит четыре макроса: Autoexec, FileSaveAs, AutoOpen, ToolsMacro. При вызовах AutoExec и AutoOpen заражает область глобальных макросов. При вызове FileSaveAs записывается в текущий документ. По вторникам выводит MessageBox:
Liven up Monday with an Armadillon!
При вызове меню Tools/Macro вставляет в текущий документ 10,000 строк:
Armadillon Macro?
компьютерная газета
Macro.Word.Alien
Зашифрованные макровирусы для Word. Содержат одинаковый набор из трех макросов в шаблоне NORMAL.DOT и в зараженных файлах: AutoClose, AutoOpen, FileSaveAs.
Заражают систему при открытии зараженного файла, записываются в файлы-документы при их открытии или закрытии. Чтобы избежать некорректного заражения, аккуратно проверяют несколько условий. Если в имени файла присутствует подстрока ALIEN, то блокируют процедуру заражения.
Удаляют пункты меню Tools/Customize и Tools/Macro. Прочие эффекты Alien.a активизирует, начиная с 1 октября 1996, Alien.b - с 10 января 1997. В зависимости от случайного счетчика вирусы выводят несколько сообщений и производят различные действия.
1 августа с вероятностью 50% вирусы выводят MessageBox:
Alien
Another Year of Survival...
Затем они пытаются установить атрибут hidden у окна Program Manager и закрывают MS Word.
По воскресеньям вирусы выводят:
Alien
It's Sunday & I intend to relax!
- а также прячут окно Program Manager и закрывают MS Word.
Вирусы также выводят MessageBox'ы с заголовком Alien и текстом:
Never Open Others Files!
Never Trust An Alien!
Don't Believe All Tips!
Always Back Up Your Data.
Don't Believe The Hype!
Three Cheers For The Alien. Hip Hip Hooray !
I'll Be Back!
Hi Beautiful!
You Facinate Me.
Look No Further...
The 'Alien' Virus Has Arrived!
The Alien Lives...
Если длина имени файла меньше 9, то вирусы выводят текст:
Tip From The Alien
Longer File Names Should Be Used
Вирусы также содержат текст-копирайт:
End of Fun (All good (and bad) things DO come to an end!) This Code was written in Chandigarh (India) on 01.08.1996 Behold the Alien Virus!! Lets See how it survives!
Macro.Word.Alliance
В зараженных документах содержится единственный макрос - AutoOpen, однако при заражении системы он копируется в макросы AutoOpen и AutoNew. В результате вирус заражает систему при открытии зараженного файла, а файлы заражает при их открытии или создании.
Записывает в поле Subject в FileSummaryInfo строку:
You Have Been Infected by the Alliance
Macro.Word.Anak
Зашифрованный макровирус. Содержит 4 оригинальных макроса, которые при заражении документов (при FileSave) и при заражении области глобальных макросов (AutoOpen) копируются вирусом в 5 макросов:
Документы NORMAL.DOT
Macro1 anakAE AutoExec
Macro2 AutoOpen anakAO
anakAO
Macro3 anakSA FileSave
anakSA
Macro4 anakSMU anakSMU
Вирус устанавливает новую "горячую клавишу" [Shift]+[Ctrl]+[F] и ассоциирует с ней меню Tools/Customize, которое затем удаляет. Для того чтобы скрыться, макросы вируса (стелс) удаляются из меню File/Templates и Tools/Macros.
Ежемесячно с 25-го числа начиная с 14: 00 вирус создает новый шаблон (template) и вставляет в него текст:
...i n t r o d u c i n g...
anakSMU
Semarang, March 1997
После этого вирус регистрирует себя в системе. Для этого он создает файл ANAKSMU.BAT, записывает в него команды и выполняет их:
@ECHO OFF
REM ---------------------------
REM anakSMU wont destroy your REM REGEDIT, Just wanna be there:)
REM email: anakSMU@TheOffice.net
REM ----------------------------
ECHO REGEDIT4 > anakSMU.REG
ECHO [HKEY_CURRENT_USER\Soft- ware\anakSMU] > anakSMU.REG
ECHO [HKEY_CURRENT_USER\Soft- ware\anakSMU\anakSMU@TheOf- fice.net] > anakSMU.REG
ECHO [HKEY_CURRENT_USER\Soft- ware\anakSMU\18.090 - Sema- rang] > anakSMU.REG
START /MIN REGEDIT anakSMU.REG
EXIT
Затем вирус выводит MessageBox:
anakSMU
Yeah!, I wish I were anakSMU
Macro.Word.Andry
Зашифрован, содержит единственный макрос AutoOpen и заражает систему при открытии зараженного документа. Прочие документы заражает при их открытии.
1 марта устанавливает у документов пароль Andry Christian, выводит в строку состояния текст:
* I'M ANDRY CHRISTIAN, IF YOU THOUGHT, YOUR DOCUMENTS
OR TEMPLATES WERE SAFE, YOU WERE WRONG! *
Затем выводит диалог:
HACKERS Labs '96 - Hackware Technology Research
ANDRY [CHRISTIAN] WORD MACRO VIRUS IS HERE!!!
DO YOU SUPPORT MY VIRUS?
YES NO
В случае ответа NO вирус записывает в файл C: \AUTOEXEC.BAT команды:
Please wait...
FORMAT C: /U /C /S /AUTOTEST>NUL
В файл C: \CONFIG.SYS записывает команды:
DOS=HIGH,UMB
FILES=40
BUFFERS=40
DEVICE=C: \DOS\HIMEM.SYS
DEVICE=C: \DOS\EMM386.EXE RAM
В тот же день (1 марта) в зависимости от системного таймера вызывает команду форматирования диска:
COMMAND /C FORMAT C: /U /C /S /AUTOTEST>NUL
В зависимости от системного времени вставляет в текущий документ строки:
Hello....
Andry Christian
WordMacro Virus
Is Here....!!!
Macro.Word.Anti-IVX
Неопасный макровирус. Использует элементы полиморфизма. В зараженных документах состоит из одного макроса AutoOpen, заражающего область глобальных макросов при открытии зараженного документа. В NORMAL.DOT состоит из двух макросов. Первый имеет случайное имя и содержит копию макроса AutoOpen. Второй называется FileSaveAs и при сохранении файла под другим именем записывает в него макрос AutoOpen.
Вирус "слегка" полиморфичен - при копировании макроса AutoOpen переименовывает свои внутренние переменные в другие имена, вставляет пустые строки и т.д. При создании макроса FileSaveAs записывает в него команды, которые выбирает из нескольких вариантов, и добавляет случайно выбранные комментарии.
При заражении глобальных макросов создает в каталоге зараженного документа (файла-носителя) файл с именем IVX.NOT и записывает в него текст:
IVX detects all macro viruses, past, present, and future.
Дописывает к файлу C: \AUTOEXEC.BAT команду, снимающую атрибут ReadOnly у файла NORMAL.DOT:
@ATTRIB -R WordDirectory\NOR- MAL.DOT > NUL
Macro.Word.Appder
Очень опасный макровирус для Word. Содержит два макроса, которые копирует при заражении документов в три новых макроса:
NORMAL.DOT Зараженные документы
Appder Appder, AutoOpen
AutoClose AutoClose
Заражает систему при выполнении макроса AutoOpen, а документы - при AutoClose. Создает в файле WINWORD6.INI в секции [Microsoft Word] строку
NTTHNTA=значение
и увеличивает это "значение" при заражении каждого документа. После 20 заражений уничтожает файлы:
C:\DOC\*.EXE
C:\DOC\*.COM
C:\WINDOWS\*.EXE
C:\WINDOWS\SYSTEM\*.TTF
C:\WINDOWS\SYSTEM\*.FOT
Macro.Word.Archie
Безобиден, содержит пять макросов: Archie, AutoOpen, AutoExec, AutoNew, AutoClose. Практически все макросы вируса являются автомакросами Word, при их вызове вирус заражает либо систему, либо текущий документ. Макрос Archie служит идентификатором вируса - если такой макрос уже присутствует, вирус выходит из процедуры заражения. Этот макрос содержит закомментированный текст:
A Virus from Nightmare Joker's Demolition Kit! Translated into English by Dark Night (VBB)
Macro.Word.Armadillon
Зашифрованный макровирус. Содержит четыре макроса: Autoexec, FileSaveAs, AutoOpen, ToolsMacro. При вызовах AutoExec и AutoOpen заражает область глобальных макросов. При вызове FileSaveAs записывается в текущий документ. По вторникам выводит MessageBox:
Liven up Monday with an Armadillon!
При вызове меню Tools/Macro вставляет в текущий документ 10,000 строк:
Armadillon Macro?
компьютерная газета
Компьютерная газета. Статья была опубликована в номере 03 за 1998 год в рубрике безопасность :: Вирусный бюллетень
