Первый "кросс-офисный" вирус

Прошло не так много времени с тех пор, как был обнаружен первый макро-вирус, заражающий документы Microsoft Access. И вот теперь Лаборатория Е. Касперского сообщила о появлении совершенно новой разновидности вирусов - заражающих документы различных приложений из MS Office. Первый и вроде бы пока единственный представитель этого нового "многообещающего" поколения вирусов, названный Macro.Access/Word97. Cross заражает как базы данных MS Access, так и документы MS Word (MS Office 97). Причем он способен переносить зараженные файлы из Word в Access и обратно. Вирус состоит из двух частей, каждая из которых является полноценным макро-вирусом в своем "родном" окружении (Word'е или Access'е). Характерной чертой обеих половинок этого вируса является способность переносить вирусный код из одного приложения Office в другое: Word-вирус заражает базы Access, а Access-вирус создает зараженный файл в каталогах Word. Интересно, что имеющийся в обеих половинах вируса блок шестнадцатеричных данных содержит в себе данные, которые используются для заражения "чужого" приложения Office, т.е. в Word-вирусе этот блок содержит упакованный Access-вирус, а в Access-вирусе содержится упакованный Word-вирус. Да-да, именно упакованный, причем ни каким-нибудь zip'ом - данные в блоке упакованы в формате MS Cabinet (попросту cab), и вирусу дополнительно требуется распаковывать эти данные при помощи стандартной утилиты MS Extract. Распаковка обоих блоков данных дает два зараженных файла: базу данных Access (которой Word-вирус заражает Access) и документ Word (которым Access-вирус заражает Word). Обе новые копии вируса, естественно, способны размножаться в "родной" среде и записывать зараженные файлы в "неродное" приложение Office. Вследствие навороченности новой "заразы" исходный текст результирующего Access-вируса превышает 370K, а Word-вируса - 160K.

Похоже, что макро-вирусы идут по пути файлово-загрузочных вирусов, используя для жизни и размножения сразу несколько разнородных объектов (в данном случае документы различных приложений MS Office).

Появление нового поколения "меж-офисных" вирусов может принести немало хлопот как пользователям компьютеров, так и разработчикам антивирусных программ, многие из которых за два месяца со времени появления первого Access-вируса так еще и не удосужились включить в свои программы функции определения и лечения зараженных баз данных MS Access.

Кирилл ВОЛОШИН

Версия для печатиВерсия для печати

Номер: 

19 за 1998 год

Рубрика: 

Стоп: вирус!
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!