Macro.Word.Atom
Вирусы для Microsoft Word
Macro.Word.Atom
Вирусы Atom состоят из четырех макросов: Atom, AutoOpen, FileOpen и FileSaveAs. Заражают Word при запуске AutoOpen. Файлы заражаются двумя путями: при открытии документа командой File/Open (макрос FileOpen) и при его сохранении с новым именем командой File/SaveAs (макрос FileSaveAs).
При заражении документа по FileSaveAs, если количество секунд системного времени равно 13, на документ ставится пароль ATOM#1. Пароль не ставится, если файл уже заражен (выдается сообщение об ошибке WordBasic).
При открытии зараженного файла 13 декабря вирус удаляет все файлы в текущем каталоге. При этом с большой вероятностью вызовет сообщение об ошибке при попытке удаления открытого файла.
Вирусы, родственные Atom, отличаются от него только расположением команд WordBasic в тексте вируса. Так, Atom.g является вирусом Atom.a, "переведенным" на немецкий язык - он содержит макросы Atom, AutoOpen, DateiOffnen, DateiSpeichernUnter.
Macro.Word.Bandung
Содержит 6 макросов: AutoExec, AutoOpen, FileSave, FileSaveAs, ToolsMacro, ToolsCustomize. Заражает NORMAL.DOT при открытии зараженного документа (AutoOpen).Документы заражает при выполнении макросов FileSave и FileSaveAs.
При запуске Word проверяет текущее время и дату. Начиная с 20-го числа каждого месяца, с 11 часов удаляет на диске C: все файлы в подкаталогох до третьего уровня вложенности (C: \Dir1\Dir2\Dir3\*.*), за исключением каталогов C: \WINDOWS, C: \WINWORD и C: \WINWORD6. Во время удаления файлов в Status Bar выводится строка
Reading menu...Please wait!
После удаления файлов вирус создает файл C: \PESAN.TXT со следующим содержанием:
Anda rupanya sedang sial, semua file di mesin
ini kecuali yang berada di
direktori WINDOWS dan WINWORD telah hilang,
jangan kaget, ini bukan ulah
Anda, tapi ini hasil pekerjaan saya...Barang
siapa yang berhasil menemukan
cara menangkal virus ini, saya akan memberi
listing virus ini untuk Anda
!!! Dan tentu saja saya akan terus datang kesini
untuk memberi Anda salam
dengan virus-virus terbaru dari saya ___ selamat!
Bandung,
,Jam.
- подставляя на подчеркнутое место текущее число и время.
Вирус также блокирует пункты меню Tools/Macro и Tools/Customize. В этих макросах предусмотрена, но не задействована деструктивная функция: после 10 марта 1996 года при попытке вызвать эти пункты меню выводится Message Box
Err@#*(c)
Fail on step 29296
и производится замена в текущем документе всех букв "a" на "#@".
Macro.Bandung.Rapi
Является переделкой вируса Bandung - деструктивная функция по удалению файлов на диске C: закомментирована, а вместо файла C: \PESAN.TXT при запуске Word всегда создается файл C: \BACALH.TXT с другим содержанием:
Assalamualaikum..., maaf @Rapi.Kom mengganggu
anda sebentar. Pesan
ini aslinya bernama PESAN.TXT yang muncul
di root direktori
setelah anda menjalankan Winword 6.0 yang
templatenya (normal.dot)
telah tertulari macro menjijikkan ini.
Macro ini (sebelum@Rapi.Kom modifikasi) berasal dari file
data Winword 6.0 (*.doc)
yang telah tertular macro ini. Bila file
data tersebut di pangggil
(Open doc), maka macro secara otomatis
menjalankan perintah-perintah
macro lain nya, yang antara lain mengcopykan
diri ke global
template (normal.dot), juga pada tanggal dan
jam tertentu akan
menghapus semua data di direktori tingkat 1, 2
dan 3 (kecuali Hidden
direktori), menjengkelkan bukan ?!. Siapapun
pembuatnya pastilah
orang yang sirik !, masih banyak perbuatan
baik lain yang bisa
kita kerjakan. ___ Malang,@Rapi.Kom"
Текущее число и время подставляются так же, как вирусом Bandung.
Зараженные файлы и NORMAL.DOT содержат разный набор макросов:
Зараженный
файл NORMAL.DOT
RpAE RpAE AutoExec
RpFO RpFO FileOpen
RpFS RpFS FileSave
RpTC RpTC ToolsCustomize
RpTM RpTM ToolsMacro
RpFSA RpFSA FileSaveAs
AutoOpen RpAO
Файлы заражаются при выполнении макросов FileOpen, FileSave, FileSaveAs. Причем при заражении от FileOpen выводится Message Box со строками:
Thank's for joining with us!@Rapi.Kom
Макросы RpTM (ToolsMacro) и RpTC (ToolsCustomize) повреждены и при обращении к меню Tools/Macro и Tools/Customize результат непредсказуем.
Macro.Word.BadBoy
Зашифрован, содержит пять макросов: AutoOpen, FileSaveAs, BadBoy, AutoExec, FileNew. Заражает систему при открытии зараженного файла (AutoOpen), записывается в файлы при их сохранении под другим именем (FileSaveAs). При заражении вирус устанавливает у документа новые поля FileSummaryInfo:
Author = Kenny-G sux
Keywords = Gangsta Rappa
Comments = The Mutha mix
При выполнении AutoOpen, если система уже заражена и текущее число - 1 или 13, вирус выводит MessageBox'ы:
Mack daddy
Bad Boy, Bad Boy, What u gonna do
the Gangsta Rappa
What u gonna do when they come for you
BMF
The Gangsta owns you !
BMF
Have a happy new year !
Затем он устанавливает у текущего документа пароль: gangsta.
При вызовах макросов FileNew, AutoExec и AutoOpen вирус удаляет меню Tools/Macro, Tools/Customize, File/Templates и этим пытается скрыть себя в системе.
Macro.Word.Balgor
Зашифрован, содержит единственный макрос AutoClose и записывается в область глобальных макросов при закрытии зараженного документа, прочие документы заражает также при их закрытии. Работает только в испанской версии Word, в других версиях записывает документ в файл C: \COMMAND.COM.
Содержит строки, которые в зависимости от значения случайного счетчика добавляет в конец документа:
P.S.: You are a very stupid people.
P.S.: I hate you a lot.
P.S.: I wish your death.
P.S.: All the things I told you are lies.
P.S.: Call me if you need sex.
Macro.Word.Beeper
Зашифрованные Word-макровирусы. Содержат набор из шести макросов в NORMAL.DOT и в зараженных файлах - Beeper.a: AutoExec, AutoClose, AutoOpen, AutoNew, TheTime, Kill; Beeper.b: AutoOpen, TFGAMV, AutoExec, AutoNew, AutoClose, Joke; в Global-копии макросов: TFGAMV и Joke со случайно сгенерированными именами.
Заражают систему при открытии зараженного файла, записываются в файлы-документы при их открытии или создании (AutoOpen, AutoNew).
Beeper.a увеличивает на полный экран окно Word и вставляет в текущий документ текст:
You are infected with
The Time
A virus from Cool Zero
Макросы Kill и TheTime не вызываются вирусом, то есть могут быть активизированы только пользователем через меню Files/Templates или Tools/Macro. При запуске макрос TheTime проверяет системное время, в 15:59 пищит и выдает по очереди MessageBox'ы
Hi I'm the Time virus
I don't like Your COMMAND.COM and AUTOEXEC.BAT
Play with me !!: -)
You have 1 Minute time to find me
Find me, I do nothing
Find me not
SAY BYE TO YOUR COMMAND.COM AND AUTOEXEC.BAT
Макрос Kill в 16:00 удаляет файлы C: \COMMAND.COM и C: \AUTOEXEC.BAT.
Beeper.b при открытии документа выводит его на принтер. В 17 часов пытается (безуспешно) создать вирусный файл SMILEY.COM и запустить его. Файл SMULEY.COM содержит Intended-вирус, то есть вирус, который неспособен размножаться.
- титульная страница
Macro.Word.Atom
Вирусы Atom состоят из четырех макросов: Atom, AutoOpen, FileOpen и FileSaveAs. Заражают Word при запуске AutoOpen. Файлы заражаются двумя путями: при открытии документа командой File/Open (макрос FileOpen) и при его сохранении с новым именем командой File/SaveAs (макрос FileSaveAs).
При заражении документа по FileSaveAs, если количество секунд системного времени равно 13, на документ ставится пароль ATOM#1. Пароль не ставится, если файл уже заражен (выдается сообщение об ошибке WordBasic).
При открытии зараженного файла 13 декабря вирус удаляет все файлы в текущем каталоге. При этом с большой вероятностью вызовет сообщение об ошибке при попытке удаления открытого файла.
Вирусы, родственные Atom, отличаются от него только расположением команд WordBasic в тексте вируса. Так, Atom.g является вирусом Atom.a, "переведенным" на немецкий язык - он содержит макросы Atom, AutoOpen, DateiOffnen, DateiSpeichernUnter.
Macro.Word.Bandung
Содержит 6 макросов: AutoExec, AutoOpen, FileSave, FileSaveAs, ToolsMacro, ToolsCustomize. Заражает NORMAL.DOT при открытии зараженного документа (AutoOpen).Документы заражает при выполнении макросов FileSave и FileSaveAs.
При запуске Word проверяет текущее время и дату. Начиная с 20-го числа каждого месяца, с 11 часов удаляет на диске C: все файлы в подкаталогох до третьего уровня вложенности (C: \Dir1\Dir2\Dir3\*.*), за исключением каталогов C: \WINDOWS, C: \WINWORD и C: \WINWORD6. Во время удаления файлов в Status Bar выводится строка
Reading menu...Please wait!
После удаления файлов вирус создает файл C: \PESAN.TXT со следующим содержанием:
Anda rupanya sedang sial, semua file di mesin
ini kecuali yang berada di
direktori WINDOWS dan WINWORD telah hilang,
jangan kaget, ini bukan ulah
Anda, tapi ini hasil pekerjaan saya...Barang
siapa yang berhasil menemukan
cara menangkal virus ini, saya akan memberi
listing virus ini untuk Anda
!!! Dan tentu saja saya akan terus datang kesini
untuk memberi Anda salam
dengan virus-virus terbaru dari saya ___ selamat!
Bandung,
,Jam.
- подставляя на подчеркнутое место текущее число и время.
Вирус также блокирует пункты меню Tools/Macro и Tools/Customize. В этих макросах предусмотрена, но не задействована деструктивная функция: после 10 марта 1996 года при попытке вызвать эти пункты меню выводится Message Box
Err@#*(c)
Fail on step 29296
и производится замена в текущем документе всех букв "a" на "#@".
Macro.Bandung.Rapi
Является переделкой вируса Bandung - деструктивная функция по удалению файлов на диске C: закомментирована, а вместо файла C: \PESAN.TXT при запуске Word всегда создается файл C: \BACALH.TXT с другим содержанием:
Assalamualaikum..., maaf @Rapi.Kom mengganggu
anda sebentar. Pesan
ini aslinya bernama PESAN.TXT yang muncul
di root direktori
setelah anda menjalankan Winword 6.0 yang
templatenya (normal.dot)
telah tertulari macro menjijikkan ini.
Macro ini (sebelum@Rapi.Kom modifikasi) berasal dari file
data Winword 6.0 (*.doc)
yang telah tertular macro ini. Bila file
data tersebut di pangggil
(Open doc), maka macro secara otomatis
menjalankan perintah-perintah
macro lain nya, yang antara lain mengcopykan
diri ke global
template (normal.dot), juga pada tanggal dan
jam tertentu akan
menghapus semua data di direktori tingkat 1, 2
dan 3 (kecuali Hidden
direktori), menjengkelkan bukan ?!. Siapapun
pembuatnya pastilah
orang yang sirik !, masih banyak perbuatan
baik lain yang bisa
kita kerjakan. ___ Malang,@Rapi.Kom"
Текущее число и время подставляются так же, как вирусом Bandung.
Зараженные файлы и NORMAL.DOT содержат разный набор макросов:
Зараженный
файл NORMAL.DOT
RpAE RpAE AutoExec
RpFO RpFO FileOpen
RpFS RpFS FileSave
RpTC RpTC ToolsCustomize
RpTM RpTM ToolsMacro
RpFSA RpFSA FileSaveAs
AutoOpen RpAO
Файлы заражаются при выполнении макросов FileOpen, FileSave, FileSaveAs. Причем при заражении от FileOpen выводится Message Box со строками:
Thank's for joining with us!@Rapi.Kom
Макросы RpTM (ToolsMacro) и RpTC (ToolsCustomize) повреждены и при обращении к меню Tools/Macro и Tools/Customize результат непредсказуем.
Macro.Word.BadBoy
Зашифрован, содержит пять макросов: AutoOpen, FileSaveAs, BadBoy, AutoExec, FileNew. Заражает систему при открытии зараженного файла (AutoOpen), записывается в файлы при их сохранении под другим именем (FileSaveAs). При заражении вирус устанавливает у документа новые поля FileSummaryInfo:
Author = Kenny-G sux
Keywords = Gangsta Rappa
Comments = The Mutha mix
При выполнении AutoOpen, если система уже заражена и текущее число - 1 или 13, вирус выводит MessageBox'ы:
Mack daddy
Bad Boy, Bad Boy, What u gonna do
the Gangsta Rappa
What u gonna do when they come for you
BMF
The Gangsta owns you !
BMF
Have a happy new year !
Затем он устанавливает у текущего документа пароль: gangsta.
При вызовах макросов FileNew, AutoExec и AutoOpen вирус удаляет меню Tools/Macro, Tools/Customize, File/Templates и этим пытается скрыть себя в системе.
Macro.Word.Balgor
Зашифрован, содержит единственный макрос AutoClose и записывается в область глобальных макросов при закрытии зараженного документа, прочие документы заражает также при их закрытии. Работает только в испанской версии Word, в других версиях записывает документ в файл C: \COMMAND.COM.
Содержит строки, которые в зависимости от значения случайного счетчика добавляет в конец документа:
P.S.: You are a very stupid people.
P.S.: I hate you a lot.
P.S.: I wish your death.
P.S.: All the things I told you are lies.
P.S.: Call me if you need sex.
Macro.Word.Beeper
Зашифрованные Word-макровирусы. Содержат набор из шести макросов в NORMAL.DOT и в зараженных файлах - Beeper.a: AutoExec, AutoClose, AutoOpen, AutoNew, TheTime, Kill; Beeper.b: AutoOpen, TFGAMV, AutoExec, AutoNew, AutoClose, Joke; в Global-копии макросов: TFGAMV и Joke со случайно сгенерированными именами.
Заражают систему при открытии зараженного файла, записываются в файлы-документы при их открытии или создании (AutoOpen, AutoNew).
Beeper.a увеличивает на полный экран окно Word и вставляет в текущий документ текст:
You are infected with
The Time
A virus from Cool Zero
Макросы Kill и TheTime не вызываются вирусом, то есть могут быть активизированы только пользователем через меню Files/Templates или Tools/Macro. При запуске макрос TheTime проверяет системное время, в 15:59 пищит и выдает по очереди MessageBox'ы
Hi I'm the Time virus
I don't like Your COMMAND.COM and AUTOEXEC.BAT
Play with me !!: -)
You have 1 Minute time to find me
Find me, I do nothing
Find me not
SAY BYE TO YOUR COMMAND.COM AND AUTOEXEC.BAT
Макрос Kill в 16:00 удаляет файлы C: \COMMAND.COM и C: \AUTOEXEC.BAT.
Beeper.b при открытии документа выводит его на принтер. В 17 часов пытается (безуспешно) создать вирусный файл SMILEY.COM и запустить его. Файл SMULEY.COM содержит Intended-вирус, то есть вирус, который неспособен размножаться.
- титульная страница
Компьютерная газета. Статья была опубликована в номере 04 за 1998 год в рубрике безопасность :: Вирусный бюллетень
