Macro.Word.Boom
Вирусы для Microsoft Word
Macro.Word.Boom
Зашифрован, работает только под немецким Word. Содержит четыре макроса: AutoOpen, DateiSpei-chernUnter, System, AutoExec.
Заражает область глобальных макросов при открытии зараженного документа (AutoOpen), файлы заражает при их сохранении под другим именем (DateiSpeichernUnter).
При запуске MS Word вирус настраивает свой макрос System на системный таймер таким образом, чтобы он вызывался в 13:13:13 (час/мин/сек). При вызове макрос System переименовывает меню:
Datei Bearbeiten Ansicht Einfugen Format
Extras Tabelle Fenster
Mr. Boombastic and Sir WIXALOT are
watching you!!
Затем вирус выводит текст:
Mr. Boombastic and Sir WIXALOT: Don't Panik,
all things are removeable!!!
Thanks VIRUSEX!!!
Потом он создает новый шаблон и записывает туда текст:
Greetings from Mr. Boombastic and Sir WIXALOT!!!
Oskar L., wir kriegen dich!!!
Dies ist eine Initiative des Institutes zur
Vermeidung und Verbreitung von
Peinlichkeiten, durch in der Цffentlichkeit
stehende Personen, unter der
Schirmherrschaft von Rudi S.!
Вирус также содержит строку:
Mr. Boombastic and Sir WIXALOT!!!
Macro.Word.Box
Содержит семь макросов: AutoOpen, AutoClose, Box, Dead, FilePrint, FilePrintDefault, Tools-Macro. При вызовах AutoOpen и AutoClose заражает глобальные макросы и документы. Макрос ToolsMacro используется для запрещения меню Tools/Macro. Остальные содержат процедуры заражения и эффекты.
Проявляется несколькими способами. При печати вставляет в документы строки на китайском, выводит MessageBox'ы, записывает на диск и запускает вирус OneHalf.3544, создает и проигрывает WAV-файл (звуковой эффект). Вызывает команды DOS:
echo y|format c: /u
echo y|format c: /u/v: Twnos1
Содержит строки:
Taiwan Super No.1 Macro Virus
Twno1-S
Today Is My Birthday
Macro.Word.Buero
Зашифрован, содержит макросы:
NORMAL.DOT Зараженный документ
DateiSpeichern AutoOpen
BuroNeu BuroNeu
Заражает систему при открытии зараженного документа (Auto-Open), в файлы записывается при их сохранении (DateiSpeichern). Начиная с 15.8.96, переименовывает файл IO.SYS в IIO.SYS, ищет и уничтожает файлы C:\*.DOC.
Macro.Word.Bukit
Зашифрован, содержит 7 макросов: AutoExec, AutoOpen, FileSave, FileSaveAs, ToolsMacro, ShellOpen, FileOpen. Заражает область глобальных макросов при открытии зараженного документа (Auto-Open), в документы записывается при их сохранении (FileSave, FileSaveAs).
По 25-м числам выводит MessageBox:
Selamat
Sekarang adalah tanggal 25, sudahkah anda mengambil gaji?
He..he..Selamat. Kalau bisa, lebih keras lagi kerjanya.
Bravo Bukit Asam!!!
При сохранении файла с другим именем (FileSaveAs), в зависимости от системной даты, выводит MessageBox:
Non Critical Error
Internal error was occured in module UNIDRV.DLL
Your application may not be work normally.
Please contact Microsoft Product Support.
При вызове меню Tools/Macro (макрос ToolsMacro) выводит MessageBox:
Critical Error
Internal error was occured in module UNIDRV.DLL
Please contact Microsoft Product Support.
Macro.Word.Cap
Зашифрованный стелс-макровирус. Содержит макросы: CAP - процедура заражения; AutoExec, AutoOpen, FileOpen, FileSave, AutoClose, FileClose, FileSaveAs - вызов процедуры заражения; FileTemplates, ToolsMacro - запрет этих пунктов меню (стелс).
Вирус не только запрещает вызов меню работы с макросами, но и удаляет ссылки на эти меню из основных меню Files и Tools. Помимо запрета меню ToolsMacro и FileTemplates, вирус отключает выполнение автомакросов при открытии документов. Это делает практически невозможным его вылечивание средствами Word, поскольку, по причине запрета меню работы с макросами, невозможно ни создать, ни запустить какой-либо лечащий макрос. Его также невозможно выполнить при загрузке Word, так как отключен запуск автомакросов.
Эмулирует FileSaveAs: при попытке сохранить зараженный файл под другим именем записывает на диск пустой документ. В описании макроса ToolsMacro хранит номер своего поколения. Содержит закомментированный текст:
C.A.P: Un virus social.. y ahora digital..
"j4cKy Qw3rTy" (jqw3rty@hotmail.com).
Venezuela, Maracay, Dic 1996.
P.D. Que haces gochito ? Nunca seras Simon Bolivar.. Bolsa
Macro.Word.Cebu
Зашифрован, содержит 4 макроса: AutoExec, AutoOpen, AutoClose, MsRun. Заражает систему при открытии зараженного документа (AutoOpen), в документы записывается при их открытии и закрытии (AutoOpen и AutoClose). В зависимости от системного времени, заменяет в текущем документе строки "Asian" на "Cebu".
Macro.Word.Ceefour
Зашифрован, содержит шесть макросов: AutoOpen, FileSave, FileOpen, FileTemplates, ToolsMacro, CFFSA. Записывается в область глобальных макросов при открытии или записи зараженного документа (AutoOpen, FileSave). Документы заражает при их сохранении с другим именем (FileSaveAs).
Запрещает меню ToolsMacro и FileTemplates (стелc), отключает свои стелс-функции, если имя открываемого файла содержит подстроку "TONY". 1 апреля стирает все файлы на диске C:. Содержит в закомментированные строки:
C-4 By Karl
You are about to have a very bad day.
It looks like C4 in the mothers arm.
We are both professional, This is personal.
And when Alexander saw the bredth of his domain he wept for there
were no more worlds to conquer (benefits of a classical education)quotes from the masters!
Macro.Word.Chaka
Поддерживает английскую и немецкую версии Word. В документах cодержит единственный макрос AutoOpen, однако при заражении области глобальных макросов (NORMAL.DOT) создает три макроса: ChAkA, FileOpen, DocClose.
Макрос ChAkA является копией макроса AutoOpen и содержит процедуру заражения, макросы FileOpen и DocClose вызывают процедуру заражения из макроса ChAkA.
Таким образом, вирус записывается в область глобальных макросов при открытии зараженного документа (AutoOpen), документы заражает при их открытии документа и закрытии Word-окна документа (FileOpen, DocClose).
Вирус содержит закомментированную строчку:
ChAkA! Nightmare Joker [SLAM]
Macro.Word.Chandiga
Cодержит единственный макрос AutoOpen и заражает документы и область глобальных макросов при открытии файлов. В нем присутствует закомментированная строка:
This Code was written in Chandigarh (India) on 01.05.1996
Macro.Word.Clock
Зашифрован. Содержит макросы: Action, AutoExec, AutoOpen, DateiОffnen, ExtrasMakro, DateiSchlieЯen, DateiSpeichern, DatumUndUhrzeit, DateiDokVorlagen, DateiAllesSpeichern, DateiSpeichernUnter.
Заражает: систему - при открытии зараженного файла (AutoOpen), файлы - при их открытии или сохранении. Если номер текущего дня больше 25, номер года больше 1996, секунды - больше 39, то вирус выводит MessageBox, содержащий текущее время и дату.
Macro.Word.Coe
Cодержит три макросa, принимающих случайные имена, - при заражении вирус генерирует случайным образом три строки (три имени) и копирует текущие макросы под новыми именами. Для того, чтобы получить эти имена при последующих заражениях, хранит их в переменных документа или в файле WIN.INI в секции [Intl] в строках:
[Intl]
Info1=...
Info2=...
Info3=...
Не содержит авто-макросов, поэтому самостоятельно не размножается. Распространение вируса возможно, только если он случайно сгенерирует какое-либо авто-имя или пользователь самостоятельно запустит макросы вируса при помощи меню Tools/Macro.
Macro.Word.Color (Rainbow, Color Changer)
Зашифрован, содержит макросы: Macros, FileNew, AutoExec, AutoOpen, FileExit, FileSave, AutoClose, FileSaveAs, ToolsMacro. Заражет файлы при создании нового документа (FileNew) и при сохранении документа с новым именем (FileSaveAs).
При каждом трехсотом активировании файловых функций FileNew, AutoOpen, FileExit, FileSave, AutoClose, FileSaveAs и ToolsMacro добавляет или изменяет содержимое секции [colors] в файле WIN.INI, задавая произвольные цвета для элементов Windows. Новые цвета вступают в силу после перезагрузки. Cчетчик для срабатывания хранится в файле WIN.INI в секции [windows]:
[windows]
countersu=234
Вирус разрешает выполнение автоматических макросов (AutoOpen, AutoClose и т.д.) - принудительно сбрасывает флажок DisableAutoMacros.
При активном вирусе невозможно активизировать команду Tools/Macro.
Для ручного удаления вируса из системы необходимо вызвать Organizer и с его помощью удалить ненужные макросы.
Один из вариантов запуска Organizer - вызвать через меню Tools/Customize, выбрать "Команды Word" и "вытащить" Organizer на линейку кнопок.
- титульная страница
Macro.Word.Boom
Зашифрован, работает только под немецким Word. Содержит четыре макроса: AutoOpen, DateiSpei-chernUnter, System, AutoExec.
Заражает область глобальных макросов при открытии зараженного документа (AutoOpen), файлы заражает при их сохранении под другим именем (DateiSpeichernUnter).
При запуске MS Word вирус настраивает свой макрос System на системный таймер таким образом, чтобы он вызывался в 13:13:13 (час/мин/сек). При вызове макрос System переименовывает меню:
Datei Bearbeiten Ansicht Einfugen Format
Extras Tabelle Fenster
Mr. Boombastic and Sir WIXALOT are
watching you!!
Затем вирус выводит текст:
Mr. Boombastic and Sir WIXALOT: Don't Panik,
all things are removeable!!!
Thanks VIRUSEX!!!
Потом он создает новый шаблон и записывает туда текст:
Greetings from Mr. Boombastic and Sir WIXALOT!!!
Oskar L., wir kriegen dich!!!
Dies ist eine Initiative des Institutes zur
Vermeidung und Verbreitung von
Peinlichkeiten, durch in der Цffentlichkeit
stehende Personen, unter der
Schirmherrschaft von Rudi S.!
Вирус также содержит строку:
Mr. Boombastic and Sir WIXALOT!!!
Macro.Word.Box
Содержит семь макросов: AutoOpen, AutoClose, Box, Dead, FilePrint, FilePrintDefault, Tools-Macro. При вызовах AutoOpen и AutoClose заражает глобальные макросы и документы. Макрос ToolsMacro используется для запрещения меню Tools/Macro. Остальные содержат процедуры заражения и эффекты.
Проявляется несколькими способами. При печати вставляет в документы строки на китайском, выводит MessageBox'ы, записывает на диск и запускает вирус OneHalf.3544, создает и проигрывает WAV-файл (звуковой эффект). Вызывает команды DOS:
echo y|format c: /u
echo y|format c: /u/v: Twnos1
Содержит строки:
Taiwan Super No.1 Macro Virus
Twno1-S
Today Is My Birthday
Macro.Word.Buero
Зашифрован, содержит макросы:
NORMAL.DOT Зараженный документ
DateiSpeichern AutoOpen
BuroNeu BuroNeu
Заражает систему при открытии зараженного документа (Auto-Open), в файлы записывается при их сохранении (DateiSpeichern). Начиная с 15.8.96, переименовывает файл IO.SYS в IIO.SYS, ищет и уничтожает файлы C:\*.DOC.
Macro.Word.Bukit
Зашифрован, содержит 7 макросов: AutoExec, AutoOpen, FileSave, FileSaveAs, ToolsMacro, ShellOpen, FileOpen. Заражает область глобальных макросов при открытии зараженного документа (Auto-Open), в документы записывается при их сохранении (FileSave, FileSaveAs).
По 25-м числам выводит MessageBox:
Selamat
Sekarang adalah tanggal 25, sudahkah anda mengambil gaji?
He..he..Selamat. Kalau bisa, lebih keras lagi kerjanya.
Bravo Bukit Asam!!!
При сохранении файла с другим именем (FileSaveAs), в зависимости от системной даты, выводит MessageBox:
Non Critical Error
Internal error was occured in module UNIDRV.DLL
Your application may not be work normally.
Please contact Microsoft Product Support.
При вызове меню Tools/Macro (макрос ToolsMacro) выводит MessageBox:
Critical Error
Internal error was occured in module UNIDRV.DLL
Please contact Microsoft Product Support.
Macro.Word.Cap
Зашифрованный стелс-макровирус. Содержит макросы: CAP - процедура заражения; AutoExec, AutoOpen, FileOpen, FileSave, AutoClose, FileClose, FileSaveAs - вызов процедуры заражения; FileTemplates, ToolsMacro - запрет этих пунктов меню (стелс).
Вирус не только запрещает вызов меню работы с макросами, но и удаляет ссылки на эти меню из основных меню Files и Tools. Помимо запрета меню ToolsMacro и FileTemplates, вирус отключает выполнение автомакросов при открытии документов. Это делает практически невозможным его вылечивание средствами Word, поскольку, по причине запрета меню работы с макросами, невозможно ни создать, ни запустить какой-либо лечащий макрос. Его также невозможно выполнить при загрузке Word, так как отключен запуск автомакросов.
Эмулирует FileSaveAs: при попытке сохранить зараженный файл под другим именем записывает на диск пустой документ. В описании макроса ToolsMacro хранит номер своего поколения. Содержит закомментированный текст:
C.A.P: Un virus social.. y ahora digital..
"j4cKy Qw3rTy" (jqw3rty@hotmail.com).
Venezuela, Maracay, Dic 1996.
P.D. Que haces gochito ? Nunca seras Simon Bolivar.. Bolsa
Macro.Word.Cebu
Зашифрован, содержит 4 макроса: AutoExec, AutoOpen, AutoClose, MsRun. Заражает систему при открытии зараженного документа (AutoOpen), в документы записывается при их открытии и закрытии (AutoOpen и AutoClose). В зависимости от системного времени, заменяет в текущем документе строки "Asian" на "Cebu".
Macro.Word.Ceefour
Зашифрован, содержит шесть макросов: AutoOpen, FileSave, FileOpen, FileTemplates, ToolsMacro, CFFSA. Записывается в область глобальных макросов при открытии или записи зараженного документа (AutoOpen, FileSave). Документы заражает при их сохранении с другим именем (FileSaveAs).
Запрещает меню ToolsMacro и FileTemplates (стелc), отключает свои стелс-функции, если имя открываемого файла содержит подстроку "TONY". 1 апреля стирает все файлы на диске C:. Содержит в закомментированные строки:
C-4 By Karl
You are about to have a very bad day.
It looks like C4 in the mothers arm.
We are both professional, This is personal.
And when Alexander saw the bredth of his domain he wept for there
were no more worlds to conquer (benefits of a classical education)quotes from the masters!
Macro.Word.Chaka
Поддерживает английскую и немецкую версии Word. В документах cодержит единственный макрос AutoOpen, однако при заражении области глобальных макросов (NORMAL.DOT) создает три макроса: ChAkA, FileOpen, DocClose.
Макрос ChAkA является копией макроса AutoOpen и содержит процедуру заражения, макросы FileOpen и DocClose вызывают процедуру заражения из макроса ChAkA.
Таким образом, вирус записывается в область глобальных макросов при открытии зараженного документа (AutoOpen), документы заражает при их открытии документа и закрытии Word-окна документа (FileOpen, DocClose).
Вирус содержит закомментированную строчку:
ChAkA! Nightmare Joker [SLAM]
Macro.Word.Chandiga
Cодержит единственный макрос AutoOpen и заражает документы и область глобальных макросов при открытии файлов. В нем присутствует закомментированная строка:
This Code was written in Chandigarh (India) on 01.05.1996
Macro.Word.Clock
Зашифрован. Содержит макросы: Action, AutoExec, AutoOpen, DateiОffnen, ExtrasMakro, DateiSchlieЯen, DateiSpeichern, DatumUndUhrzeit, DateiDokVorlagen, DateiAllesSpeichern, DateiSpeichernUnter.
Заражает: систему - при открытии зараженного файла (AutoOpen), файлы - при их открытии или сохранении. Если номер текущего дня больше 25, номер года больше 1996, секунды - больше 39, то вирус выводит MessageBox, содержащий текущее время и дату.
Macro.Word.Coe
Cодержит три макросa, принимающих случайные имена, - при заражении вирус генерирует случайным образом три строки (три имени) и копирует текущие макросы под новыми именами. Для того, чтобы получить эти имена при последующих заражениях, хранит их в переменных документа или в файле WIN.INI в секции [Intl] в строках:
[Intl]
Info1=...
Info2=...
Info3=...
Не содержит авто-макросов, поэтому самостоятельно не размножается. Распространение вируса возможно, только если он случайно сгенерирует какое-либо авто-имя или пользователь самостоятельно запустит макросы вируса при помощи меню Tools/Macro.
Macro.Word.Color (Rainbow, Color Changer)
Зашифрован, содержит макросы: Macros, FileNew, AutoExec, AutoOpen, FileExit, FileSave, AutoClose, FileSaveAs, ToolsMacro. Заражет файлы при создании нового документа (FileNew) и при сохранении документа с новым именем (FileSaveAs).
При каждом трехсотом активировании файловых функций FileNew, AutoOpen, FileExit, FileSave, AutoClose, FileSaveAs и ToolsMacro добавляет или изменяет содержимое секции [colors] в файле WIN.INI, задавая произвольные цвета для элементов Windows. Новые цвета вступают в силу после перезагрузки. Cчетчик для срабатывания хранится в файле WIN.INI в секции [windows]:
[windows]
countersu=234
Вирус разрешает выполнение автоматических макросов (AutoOpen, AutoClose и т.д.) - принудительно сбрасывает флажок DisableAutoMacros.
При активном вирусе невозможно активизировать команду Tools/Macro.
Для ручного удаления вируса из системы необходимо вызвать Organizer и с его помощью удалить ненужные макросы.
Один из вариантов запуска Organizer - вызвать через меню Tools/Customize, выбрать "Команды Word" и "вытащить" Organizer на линейку кнопок.
- титульная страница
Компьютерная газета. Статья была опубликована в номере 05 за 1998 год в рубрике безопасность :: Вирусный бюллетень
