...
...

Macro.Word.Atom

Вирусы для Microsoft Word

Macro.Word.Atom

Вирусы Atom состоят из четырех макросов: Atom, AutoOpen, FileOpen и FileSaveAs. Заражают Word при запуске AutoOpen. Файлы заражаются двумя путями: при открытии документа командой File/Open (макрос FileOpen) и при его сохранении с новым именем командой File/SaveAs (макрос FileSaveAs).

При заражении документа по FileSaveAs, если количество секунд системного времени равно 13, на документ ставится пароль ATOM#1. Пароль не ставится, если файл уже заражен (выдается сообщение об ошибке WordBasic).

При открытии зараженного файла 13 декабря вирус удаляет все файлы в текущем каталоге. При этом с большой вероятностью вызовет сообщение об ошибке при попытке удаления открытого файла.

Вирусы, родственные Atom, отличаются от него только расположением команд WordBasic в тексте вируса. Так, Atom.g является вирусом Atom.a, "переведенным" на немецкий язык - он содержит макросы Atom, AutoOpen, DateiOffnen, DateiSpeichernUnter.

Macro.Word.Bandung

Содержит 6 макросов: AutoExec, AutoOpen, FileSave, FileSaveAs, ToolsMacro, ToolsCustomize. Заражает NORMAL.DOT при открытии зараженного документа (AutoOpen).Документы заражает при выполнении макросов FileSave и FileSaveAs.

При запуске Word проверяет текущее время и дату. Начиная с 20-го числа каждого месяца, с 11 часов удаляет на диске C: все файлы в подкаталогох до третьего уровня вложенности (C: \Dir1\Dir2\Dir3\*.*), за исключением каталогов C: \WINDOWS, C: \WINWORD и C: \WINWORD6. Во время удаления файлов в Status Bar выводится строка

Reading menu...Please wait!

После удаления файлов вирус создает файл C: \PESAN.TXT со следующим содержанием:

Anda rupanya sedang sial, semua file di mesin

ini kecuali yang berada di

direktori WINDOWS dan WINWORD telah hilang,

jangan kaget, ini bukan ulah

Anda, tapi ini hasil pekerjaan saya...Barang

siapa yang berhasil menemukan

cara menangkal virus ini, saya akan memberi

listing virus ini untuk Anda

!!! Dan tentu saja saya akan terus datang kesini

untuk memberi Anda salam

dengan virus-virus terbaru dari saya ___ selamat!

Bandung,

,Jam.


- подставляя на подчеркнутое место текущее число и время.

Вирус также блокирует пункты меню Tools/Macro и Tools/Customize. В этих макросах предусмотрена, но не задействована деструктивная функция: после 10 марта 1996 года при попытке вызвать эти пункты меню выводится Message Box

Err@#*(c)

Fail on step 29296


и производится замена в текущем документе всех букв "a" на "#@".

Macro.Bandung.Rapi

Является переделкой вируса Bandung - деструктивная функция по удалению файлов на диске C: закомментирована, а вместо файла C: \PESAN.TXT при запуске Word всегда создается файл C: \BACALH.TXT с другим содержанием:

Assalamualaikum..., maaf @Rapi.Kom mengganggu

anda sebentar. Pesan

ini aslinya bernama PESAN.TXT yang muncul

di root direktori

setelah anda menjalankan Winword 6.0 yang

templatenya (normal.dot)

telah tertulari macro menjijikkan ini.

Macro ini (sebelum@Rapi.Kom modifikasi) berasal dari file

data Winword 6.0 (*.doc)

yang telah tertular macro ini. Bila file

data tersebut di pangggil

(Open doc), maka macro secara otomatis

menjalankan perintah-perintah

macro lain nya, yang antara lain mengcopykan

diri ke global

template (normal.dot), juga pada tanggal dan

jam tertentu akan

menghapus semua data di direktori tingkat 1, 2

dan 3 (kecuali Hidden

direktori), menjengkelkan bukan ?!. Siapapun

pembuatnya pastilah

orang yang sirik !, masih banyak perbuatan

baik lain yang bisa

kita kerjakan. ___ Malang,@Rapi.Kom"


Текущее число и время подставляются так же, как вирусом Bandung.

Зараженные файлы и NORMAL.DOT содержат разный набор макросов:

Зараженный
файл          NORMAL.DOT


RpAE          RpAE AutoExec

RpFO          RpFO FileOpen

RpFS          RpFS FileSave

RpTC          RpTC ToolsCustomize

RpTM          RpTM ToolsMacro

RpFSA         RpFSA FileSaveAs

AutoOpen      RpAO


Файлы заражаются при выполнении макросов FileOpen, FileSave, FileSaveAs. Причем при заражении от FileOpen выводится Message Box со строками:

Thank's for joining with us!@Rapi.Kom

Макросы RpTM (ToolsMacro) и RpTC (ToolsCustomize) повреждены и при обращении к меню Tools/Macro и Tools/Customize результат непредсказуем.

Macro.Word.BadBoy

Зашифрован, содержит пять макросов: AutoOpen, FileSaveAs, BadBoy, AutoExec, FileNew. Заражает систему при открытии зараженного файла (AutoOpen), записывается в файлы при их сохранении под другим именем (FileSaveAs). При заражении вирус устанавливает у документа новые поля FileSummaryInfo:

Author = Kenny-G sux

Keywords = Gangsta Rappa

Comments = The Mutha mix


При выполнении AutoOpen, если система уже заражена и текущее число - 1 или 13, вирус выводит MessageBox'ы:

Mack daddy

Bad Boy, Bad Boy, What u gonna do

the Gangsta Rappa

What u gonna do when they come for you

BMF

The Gangsta owns you !

BMF

Have a happy new year !


Затем он устанавливает у текущего документа пароль: gangsta.

При вызовах макросов FileNew, AutoExec и AutoOpen вирус удаляет меню Tools/Macro, Tools/Customize, File/Templates и этим пытается скрыть себя в системе.

Macro.Word.Balgor

Зашифрован, содержит единственный макрос AutoClose и записывается в область глобальных макросов при закрытии зараженного документа, прочие документы заражает также при их закрытии. Работает только в испанской версии Word, в других версиях записывает документ в файл C: \COMMAND.COM.

Содержит строки, которые в зависимости от значения случайного счетчика добавляет в конец документа:

P.S.: You are a very stupid people.

P.S.: I hate you a lot.

P.S.: I wish your death.

P.S.: All the things I told you are lies.

P.S.: Call me if you need sex.


Macro.Word.Beeper

Зашифрованные Word-макровирусы. Содержат набор из шести макросов в NORMAL.DOT и в зараженных файлах - Beeper.a: AutoExec, AutoClose, AutoOpen, AutoNew, TheTime, Kill; Beeper.b: AutoOpen, TFGAMV, AutoExec, AutoNew, AutoClose, Joke; в Global-копии макросов: TFGAMV и Joke со случайно сгенерированными именами.

Заражают систему при открытии зараженного файла, записываются в файлы-документы при их открытии или создании (AutoOpen, AutoNew).

Beeper.a увеличивает на полный экран окно Word и вставляет в текущий документ текст:

You are infected with

The Time

A virus from Cool Zero


Макросы Kill и TheTime не вызываются вирусом, то есть могут быть активизированы только пользователем через меню Files/Templates или Tools/Macro. При запуске макрос TheTime проверяет системное время, в 15:59 пищит и выдает по очереди MessageBox'ы

Hi I'm the Time virus

I don't like Your COMMAND.COM and AUTOEXEC.BAT

Play with me !!: -)

You have 1 Minute time to find me

Find me, I do nothing

Find me not

SAY BYE TO YOUR COMMAND.COM AND AUTOEXEC.BAT


Макрос Kill в 16:00 удаляет файлы C: \COMMAND.COM и C: \AUTOEXEC.BAT.

Beeper.b при открытии документа выводит его на принтер. В 17 часов пытается (безуспешно) создать вирусный файл SMILEY.COM и запустить его. Файл SMULEY.COM содержит Intended-вирус, то есть вирус, который неспособен размножаться.

- титульная страница


© Компьютерная газета

полезные ссылки
Оффшорные банковские счета