home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / MVUPDAT3.ZIP / MACRO_AV.ZIP / MACRO005.TXT < prev    next >
Text File  |  1995-11-26  |  5KB  |  92 lines
  1. MS Word Macro Virus - Real, but Don't Freak Out!
  2. by Paul Ducklin, Sophos, Plc (24 Aug 1995)
  3.  
  4. As many of you will know, there's a Microsoft Word macro virus out there
  5. (variously known as "Winword.Concept", "WW6Macro" and "Prank Macro") that has
  6. apparently made it into the wild. The idea of macro-language viruses is not
  7. new -- indeed, AFAIR, Prof H. J. Highland, editor of Computers & Security,
  8. demonstrated the possiblity under Lotus 1-2-3 several years ago.
  9. What is new is that this Word macro virus seems to be in the wild, and that
  10. it seems to be driving people wild. Certainly, news wires are abuzz. If we
  11. believe what we're told, it's the End Of Computing As We Know It (again :-).
  12.  
  13. The concept is obvious, and has been much discussed. Most products can read
  14. and write data files; some allow their data files to contain programmatic
  15. commands that would more typically be typed at the keyboard or issued with a
  16. mouse. The idea is that when you load a data file with a "command script" or
  17. "macro" in it, you can carry out a whole sequence of program functions
  18. automatically -- rather than having to type them in over and over again.
  19.  
  20. Many programs with macro support allow their macros to access a substantial
  21. range of functions, such as opening, manipulating and closing files -- or even
  22. issuing direct operating system commands. Some macro systems go even further
  23. -- they allow macros to be mixed with regular data files, and they define
  24. special types of macro (typically identified by a predefined name, or
  25. position) which will automatically be fired up when a file is loaded or the
  26. system is started. DOS has such a system -- no prizes for guessing where the
  27. name AUTOEXEC.BAT comes from.
  28.  
  29. No prizes, either, for working out that data-file + macro-language +
  30. autoexec-of-special-macros is a formula which works out to a security
  31. nightmare. Viruses, Trojan Horses, modification-of-service attacks -- all are
  32. remarkably possible in such an environment.
  33.  
  34. MS Word 6.0 has a particularly rich macro language (WordBasic), and a number
  35. of "macro hooks" whereby an unsuspecting user can be lured into executing a
  36. hitherto unseen and unknown macro simply by loading a document. This is how
  37. Winword.Concept works -- we leave the actual details as an exercise to the
  38. reader, for safety's sake.
  39.  
  40. Winword.Concept is obvious, and easy to handle. Most anti-virus software users
  41. should be able to contact their vendor for help on how to detect and clean it
  42. up. There is a bigger issue, though, which you would do well to address
  43. now. Ask yourself if you are aware of any "automatic macro" facilities
  44. in the software your organisation uses. And ask yourself if you know how to
  45. control the operation and scope of these facilities.
  46.  
  47. For example, if you're a WinWord user, did you know that:
  48.  
  49.       a document can contain a macro which will usually be
  50.       executed transparently and automatically when that document is opened?
  51.  
  52.       a macro, once running, can make changes to a set of global macros that
  53.       may end up being transparently included in many or all documents
  54.       created in the future?
  55.  
  56.       there are numerous "automatic" triggers in addition to the document-open
  57.       one that malicious macro code might exploit?
  58.  
  59. You can see the risk here. You may know,or be told, though, that:
  60.  
  61.       holding down Shift whilst opening a document will inhibit the
  62.       invocation of its automatic document-open macro.
  63.  
  64.       Tools/Options/Save includes an option ("Prompt to save NORMAL.DOT") w
  65.       hich will make transparent changes to your global macros less likely.
  66.  
  67.       that you can instruct WinWord, when you load it, to switch off
  68.       "automatic" macros altogether, by loading it with the command
  69.       "WINWORD.EXE /mDisableAutoMacros", or by holding down the Shift key as
  70.       you fire it up.
  71.  
  72. You may also, like me, try out these fixes and discover that the first and
  73. last don't actually seem to work as suggested! There is a good trick for
  74. WinWord, however: create yourself a global AutoExec macro (this is run when
  75. Word starts up) that looks like this:
  76.  
  77.       Sub MAIN
  78.           DisableAutoMacros
  79.           MsgBox "Auto Macros are turned off", "Safety First!", 64
  80.       End Sub
  81.  
  82. WinWord.Concept -- and other malware based on AutoOpen -- will not work if
  83. you do this.
  84.  
  85. Control is in your hands. Don't panic. Take the opportunity to learn more
  86. about features of the software you use, to test and verify any security
  87. features you plan to utilise, and then to configure accordingly. Don't
  88. treat this new Word virus as a nightmare; use it as an opportunity to take
  89. stock, and to learn.
  90.  
  91.  
  92.