Описываемый вирус состоит из десяти защищённых от редактирования макрокоманд (макросов), которые имеют следующие имена:

'CAP', 'AutoOpen', 'FileOpen', 'FileClose', 'AutoClose', 'FileSave', 'FileSaveAs', 'ToolsMacro', 'AutoExec', 'FileTemplates'.

Все вышеперечисленные имена макросов, кроме имени 'CAP', являются именами стандартных макросов Word. Таким образом, макровирус перехватывает (замещает своими) некоторые стандартные функции Word, что и позволяет ему успешно функционировать и создавать свои копии.

Макровирус 'CAP.2593' инфицирует документы и шаблоны (специального вида документы, с помощью которых формируются окончательные документы) редактора Microsoft Word, а также документы в формате RTF. Так как в Word макрокоманды (а, следовательно, и макровирусы) хранятся в шаблонах, то инфицируемый вирусом документ переводится и сохраняется с прежним именем в формате шаблона Word независимо от формата документа-"жертвы".

В целях самозащиты и безопасности данный вирус полностью блокирует работу пользователя с макрокомандами в Word. Для этого 'CAP.2593' удаляет из Normal.dot все существующие макрокоманды и убирает из меню Word пункты 'Макрокоманда...' и 'Настройка...', что делает невозможным набор или запись новых макрокоманд.

Кроме этого, 'CAP.2593' ставит следующие параметры Word для записи документов:

• разрешить быстрое сохранение документов;
• автосохранение документа каждые 10 минут;
• не запрашивать разрешение у пользователя на сохранение изменений в Normal.dot.

Вот два основных признака, по которым пользователь может узнать, заражен ли Word макровирусом 'CAP.2593':

1. Как уже было сказано, в меню Word отсутствуют или не работают пункты 'Сервис/Макрокоманда...' и 'Сервис/Настройка...'.

2. Если выделить мышью в меню Word пункты 'Открыть...', 'Закрыть', 'Сохранить', 'Сохранить как...', 'Шаблоны...' или 'Макрокоманда...', то вместо обычных подсказок в строке состояния будет следующий текст:

'F%?', где ? - это 'O', 'C', 'S', 'SA', '' или какое-либо число, показывающее количество заражений Word.

В макровирусе 'CAP.2593' присутствуют следующие текстовые строки (зашифровано автором вируса):

'C.A.P: Un virus social.. y ahora digital..',

'"j4cKy Qw3rTy" (jqw3rty@hotmail.com).',

'Venezuela, Maracay, Dic 1996.',

'P.D. Que haces gochito ? Nunca seras Simon Bolivar.. Bolsa !'.

Определенные вирусные приемы, содержащиеся в макрокомандах вируса 'CAP', были использованы для написания еще нескольких вирусов, о которых пойдёт речь в следующих номерах газеты.

Андрей НЕМЕРА,
Вячеслав КОЛЕДА,

ООО "ВирусБлокАда"

Борьба с компьютерными вирусами. Восстановление поврежденной информации. Лицензия №62 Государственного Центра Безопасности Информации на разработку, производство, реализацию, монтаж, наладку, сервисное обслуживание антивирусного комплекса программ.

Голосовой телефон: (017) 2-235-235
VBA BBS: (017) 2-267-086, круглосуточно
E-mail: vba.support@usa.net
Fido: 2:450/110