Описываемый вирус состоит из десяти защищённых от редактирования макрокоманд (макросов), которые имеют следующие имена:
'CAP', 'AutoOpen', 'FileOpen', 'FileClose', 'AutoClose', 'FileSave', 'FileSaveAs', 'ToolsMacro', 'AutoExec', 'FileTemplates'.
Все вышеперечисленные имена макросов, кроме имени 'CAP', являются именами стандартных макросов Word. Таким образом, макровирус перехватывает (замещает своими) некоторые стандартные функции Word, что и позволяет ему успешно функционировать и создавать свои копии.
Макровирус 'CAP.2593' инфицирует документы и шаблоны (специального вида документы, с помощью которых формируются окончательные документы) редактора Microsoft Word, а также документы в формате RTF. Так как в Word макрокоманды (а, следовательно, и макровирусы) хранятся в шаблонах, то инфицируемый вирусом документ переводится и сохраняется с прежним именем в формате шаблона Word независимо от формата документа-"жертвы".
В целях самозащиты и безопасности данный вирус полностью блокирует работу пользователя с макрокомандами в Word. Для этого 'CAP.2593' удаляет из Normal.dot все существующие макрокоманды и убирает из меню Word пункты 'Макрокоманда...' и 'Настройка...', что делает невозможным набор или запись новых макрокоманд.
Кроме этого, 'CAP.2593' ставит следующие параметры Word для записи документов:
- разрешить быстрое сохранение документов;
- автосохранение документа каждые 10 минут;
- не запрашивать разрешение у пользователя на сохранение изменений в Normal.dot.
Вот два основных признака, по которым пользователь может узнать, заражен ли Word макровирусом 'CAP.2593':
1. Как уже было сказано, в меню Word отсутствуют или не работают пункты 'Сервис/Макрокоманда...' и 'Сервис/Настройка...'.
2. Если выделить мышью в меню Word пункты 'Открыть...', 'Закрыть', 'Сохранить', 'Сохранить как...', 'Шаблоны...' или 'Макрокоманда...', то вместо обычных подсказок в строке состояния будет следующий текст:
'F%?', где ? - это 'O', 'C', 'S', 'SA', '' или какое-либо число, показывающее количество заражений Word.
В макровирусе 'CAP.2593' присутствуют следующие текстовые строки (зашифровано автором вируса):
'C.A.P: Un virus social.. y ahora digital..',
'"j4cKy Qw3rTy" ([email protected]).',
'Venezuela, Maracay, Dic 1996.',
'P.D. Que haces gochito ? Nunca seras Simon Bolivar.. Bolsa !'.
Определенные вирусные приемы, содержащиеся в макрокомандах вируса 'CAP', были использованы для написания еще нескольких вирусов, о которых пойдёт речь в следующих номерах газеты.
Андрей НЕМЕРА,
Вячеслав КОЛЕДА,
ООО "ВирусБлокАда"
Борьба с компьютерными вирусами. Восстановление поврежденной информации. Лицензия №62 Государственного Центра Безопасности Информации на разработку, производство, реализацию, монтаж, наладку, сервисное обслуживание антивирусного комплекса программ.
Голосовой телефон: (017) 2-235-235
VBA BBS: (017) 2-267-086, круглосуточно
E-mail: [email protected]
Fido: 2:450/110
Горячие темы