Macro.Word.Boom

Вирусы для Microsoft Word

Macro.Word.Boom

Зашифрован, работает только под немецким Word. Содержит четыре макроса: AutoOpen, DateiSpei-chernUnter, System, AutoExec.

Заражает область глобальных макросов при открытии зараженного документа (AutoOpen), файлы заражает при их сохранении под другим именем (DateiSpeichernUnter).

При запуске MS Word вирус настраивает свой макрос System на системный таймер таким образом, чтобы он вызывался в 13:13:13 (час/мин/сек). При вызове макрос System переименовывает меню:

Datei Bearbeiten Ansicht Einfugen Format

Extras Tabelle Fenster

Mr. Boombastic and Sir WIXALOT are

watching you!!


Затем вирус выводит текст:

Mr. Boombastic and Sir WIXALOT: Don't Panik,

all things are removeable!!!

Thanks VIRUSEX!!!


Потом он создает новый шаблон и записывает туда текст:

Greetings from Mr. Boombastic and Sir WIXALOT!!!

Oskar L., wir kriegen dich!!!

Dies ist eine Initiative des Institutes zur

Vermeidung und Verbreitung von

Peinlichkeiten, durch in der Цffentlichkeit

stehende Personen, unter der

Schirmherrschaft von Rudi S.!


Вирус также содержит строку:

Mr. Boombastic and Sir WIXALOT!!!

Macro.Word.Box

Содержит семь макросов: AutoOpen, AutoClose, Box, Dead, FilePrint, FilePrintDefault, Tools-Macro. При вызовах AutoOpen и AutoClose заражает глобальные макросы и документы. Макрос ToolsMacro используется для запрещения меню Tools/Macro. Остальные содержат процедуры заражения и эффекты.

Проявляется несколькими способами. При печати вставляет в документы строки на китайском, выводит MessageBox'ы, записывает на диск и запускает вирус OneHalf.3544, создает и проигрывает WAV-файл (звуковой эффект). Вызывает команды DOS:

echo y|format c: /u

echo y|format c: /u/v: Twnos1

Содержит строки:

Taiwan Super No.1 Macro Virus

Twno1-S

Today Is My Birthday


Macro.Word.Buero

Зашифрован, содержит макросы:

NORMAL.DOT        Зараженный документ

DateiSpeichern    AutoOpen

BuroNeu           BuroNeu


Заражает систему при открытии зараженного документа (Auto-Open), в файлы записывается при их сохранении (DateiSpeichern). Начиная с 15.8.96, переименовывает файл IO.SYS в IIO.SYS, ищет и уничтожает файлы C:\*.DOC.

Macro.Word.Bukit

Зашифрован, содержит 7 макросов: AutoExec, AutoOpen, FileSave, FileSaveAs, ToolsMacro, ShellOpen, FileOpen. Заражает область глобальных макросов при открытии зараженного документа (Auto-Open), в документы записывается при их сохранении (FileSave, FileSaveAs).

По 25-м числам выводит MessageBox:

Selamat

Sekarang adalah tanggal 25, sudahkah anda mengambil gaji?

He..he..Selamat. Kalau bisa, lebih keras lagi kerjanya.

Bravo Bukit Asam!!!


При сохранении файла с другим именем (FileSaveAs), в зависимости от системной даты, выводит MessageBox:

Non Critical Error

Internal error was occured in module UNIDRV.DLL

Your application may not be work normally.

Please contact Microsoft Product Support.


При вызове меню Tools/Macro (макрос ToolsMacro) выводит MessageBox:

Critical Error

Internal error was occured in module UNIDRV.DLL

Please contact Microsoft Product Support.


Macro.Word.Cap

Зашифрованный стелс-макровирус. Содержит макросы: CAP - процедура заражения; AutoExec, AutoOpen, FileOpen, FileSave, AutoClose, FileClose, FileSaveAs - вызов процедуры заражения; FileTemplates, ToolsMacro - запрет этих пунктов меню (стелс).

Вирус не только запрещает вызов меню работы с макросами, но и удаляет ссылки на эти меню из основных меню Files и Tools. Помимо запрета меню ToolsMacro и FileTemplates, вирус отключает выполнение автомакросов при открытии документов. Это делает практически невозможным его вылечивание средствами Word, поскольку, по причине запрета меню работы с макросами, невозможно ни создать, ни запустить какой-либо лечащий макрос. Его также невозможно выполнить при загрузке Word, так как отключен запуск автомакросов.

Эмулирует FileSaveAs: при попытке сохранить зараженный файл под другим именем записывает на диск пустой документ. В описании макроса ToolsMacro хранит номер своего поколения. Содержит закомментированный текст:

C.A.P: Un virus social.. y ahora digital..

"j4cKy Qw3rTy" (jqw3rty@hotmail.com).

Venezuela, Maracay, Dic 1996.

P.D. Que haces gochito ? Nunca seras Simon Bolivar.. Bolsa


Macro.Word.Cebu

Зашифрован, содержит 4 макроса: AutoExec, AutoOpen, AutoClose, MsRun. Заражает систему при открытии зараженного документа (AutoOpen), в документы записывается при их открытии и закрытии (AutoOpen и AutoClose). В зависимости от системного времени, заменяет в текущем документе строки "Asian" на "Cebu".

Macro.Word.Ceefour

Зашифрован, содержит шесть макросов: AutoOpen, FileSave, FileOpen, FileTemplates, ToolsMacro, CFFSA. Записывается в область глобальных макросов при открытии или записи зараженного документа (AutoOpen, FileSave). Документы заражает при их сохранении с другим именем (FileSaveAs).

Запрещает меню ToolsMacro и FileTemplates (стелc), отключает свои стелс-функции, если имя открываемого файла содержит подстроку "TONY". 1 апреля стирает все файлы на диске C:. Содержит в закомментированные строки:

C-4 By Karl

You are about to have a very bad day.

It looks like C4 in the mothers arm.

We are both professional, This is personal.

And when Alexander saw the bredth of his domain he wept for there

were no more worlds to conquer (benefits of a classical education)quotes from the masters!


Macro.Word.Chaka

Поддерживает английскую и немецкую версии Word. В документах cодержит единственный макрос AutoOpen, однако при заражении области глобальных макросов (NORMAL.DOT) создает три макроса: ChAkA, FileOpen, DocClose.

Макрос ChAkA является копией макроса AutoOpen и содержит процедуру заражения, макросы FileOpen и DocClose вызывают процедуру заражения из макроса ChAkA.

Таким образом, вирус записывается в область глобальных макросов при открытии зараженного документа (AutoOpen), документы заражает при их открытии документа и закрытии Word-окна документа (FileOpen, DocClose).

Вирус содержит закомментированную строчку:

ChAkA! Nightmare Joker [SLAM]

Macro.Word.Chandiga

Cодержит единственный макрос AutoOpen и заражает документы и область глобальных макросов при открытии файлов. В нем присутствует закомментированная строка:

This Code was written in Chandigarh (India) on 01.05.1996

Macro.Word.Clock

Зашифрован. Содержит макросы: Action, AutoExec, AutoOpen, DateiОffnen, ExtrasMakro, DateiSchlieЯen, DateiSpeichern, DatumUndUhrzeit, DateiDokVorlagen, DateiAllesSpeichern, DateiSpeichernUnter.

Заражает: систему - при открытии зараженного файла (AutoOpen), файлы - при их открытии или сохранении. Если номер текущего дня больше 25, номер года больше 1996, секунды - больше 39, то вирус выводит MessageBox, содержащий текущее время и дату.

Macro.Word.Coe

Cодержит три макросa, принимающих случайные имена, - при заражении вирус генерирует случайным образом три строки (три имени) и копирует текущие макросы под новыми именами. Для того, чтобы получить эти имена при последующих заражениях, хранит их в переменных документа или в файле WIN.INI в секции [Intl] в строках:

[Intl]

Info1=...

Info2=...

Info3=...


Не содержит авто-макросов, поэтому самостоятельно не размножается. Распространение вируса возможно, только если он случайно сгенерирует какое-либо авто-имя или пользователь самостоятельно запустит макросы вируса при помощи меню Tools/Macro.

Macro.Word.Color (Rainbow, Color Changer)

Зашифрован, содержит макросы: Macros, FileNew, AutoExec, AutoOpen, FileExit, FileSave, AutoClose, FileSaveAs, ToolsMacro. Заражет файлы при создании нового документа (FileNew) и при сохранении документа с новым именем (FileSaveAs).

При каждом трехсотом активировании файловых функций FileNew, AutoOpen, FileExit, FileSave, AutoClose, FileSaveAs и ToolsMacro добавляет или изменяет содержимое секции [colors] в файле WIN.INI, задавая произвольные цвета для элементов Windows. Новые цвета вступают в силу после перезагрузки. Cчетчик для срабатывания хранится в файле WIN.INI в секции [windows]:

[windows]

countersu=234


Вирус разрешает выполнение автоматических макросов (AutoOpen, AutoClose и т.д.) - принудительно сбрасывает флажок DisableAutoMacros.

При активном вирусе невозможно активизировать команду Tools/Macro.

Для ручного удаления вируса из системы необходимо вызвать Organizer и с его помощью удалить ненужные макросы.

Один из вариантов запуска Organizer - вызвать через меню Tools/Customize, выбрать "Команды Word" и "вытащить" Organizer на линейку кнопок.

- титульная страница


Компьютерная газета. Статья была опубликована в номере 05 за 1998 год в рубрике безопасность :: Вирусный бюллетень

©1997-2024 Компьютерная газета