Макровирус "Macro.Word.Microsoft.8283"

Основу вируса составляют 6 макросов: Microsoft01, Microsoft02, Microsoft03, Microsoft04, Microsoft05, Toolsmacro. Это - базовые макросы, при заражении файлов их набор несколько меняется:

в инфицированном Normal.dot: Microsoft01, Microsoft02, FileSaveAs (Microsoft02), AutoExec (Microsoft03), Microsoft04, Microsoft05, ToolsMacro;

в инфицированном документе: AutoClose (Microsoft01), Microsoft01, Microsoft02, Microsoft03, Microsoft04, Microsoft05, Toolsmacro.

Вирус был создан с расчетом на Word 6, но успешно живет и на 7-й версии Word. Вирус не инфицирует Normal.dot, если в нем уже присутствует макрос с именем Microsoft03 или FileSaveAs. При инфицировании Normal.dot с вероятностью 5% выводится окно-сообщение с текстом "Are you sure you wish to Quit".

При запуске инфицированного Word с вероятностью 3% выводится диалоговое окно с заголовком: "Microsoft Office", содержащее текст:

The Licenese Agreement for this software apckage has expired.

Software Programs is subject to the terms of the Microsoft License Agreement. You should not continue until you have read the Microsoft License Agreement. By continuing, and pressing the 'OK' button, you signify that you have read the Microsoft License Agreement and accept its terms.

Please contact your Local Microsoft Dealer.

Окно содержит две кнопки: "OK" и "Cancel". То есть предлагается произвести регистрацию какой-то "продукции фирмы Microsoft". Если пользователь нажимает кнопку OK, то выводится другое диалоговое окно с заголовком: "Microsoft Word" и содержащее в себе текст: "Please complete the details below:", предлагая затем ввести имя, название компании и код продукта. Если пользователь введет "Bill Gates", "Microsoft" и "666" соответственно и затем нажмет кнопку "OK", то вирус как бы добреет и в активном документе убивает все свои макросы, заменяя их пустышками, что делает невозможным дальнейшее распространение этого вируса посредством активного документа. При любых других действиях пользователя вирус, наоборот, рассердится и выведет окно "Windows Application Error", содержащее сообщение: "Out of Memory or System Resources", после чего закроет Word.

Также при запуске инфицированного Word 6 с вероятностью 4% выводится окно с текущим советом дня.

Макрос ToolsMacro имитирует пункт меню Tools/Macro в Word, показывая, что нигде нет ни одного макроса. Если в этом диалоговом окне нажать Cancel (Alt-F4), то окно просто закроется, иначе - возможны два варианта. Если ввести в качестве имени макроса слово Microsoft и нажать кнопку Help, то откроется настоящее диалоговое окно Tools/Macro. Иначе выводится сообщение об ошибке (см. выше) и закрывается Word.

Андрей НЕМЕРА,
Константин ФРАНЦЕВ

ООО "ВирусБлокАда"

Борьба с компьютерными вирусами. Восстановление поврежденной информации. Лицензия №62 Государственного Центра Безопасности Информации на разработку, производство, реализацию, монтаж, наладку, сервисное обслуживание антивирусного комплекса программ.

Голосовой телефон: (017) 2-235-235
VBA BBS: (017) 2-267-086, круглосуточно
E-mail: [email protected]
Fido: 2:450/110

Версия для печатиВерсия для печати

Номер: 

11 за 1998 год

Рубрика: 

Стоп: вирус!
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!