home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / MVUPDAT3.ZIP / MACRO_AV.ZIP / MACRO011.TXT < prev   
Text File  |  1996-05-01  |  87KB  |  1,813 lines

  1.       --------------------------------------------------------------
  2.                     MS WORD 6.x MACRO VIRUSES FAQ V2.0
  3.                        <Frequently Asked Questions>
  4.                      for the ALT.COMP.VIRUS Newsgroup
  5.       --------------------------------------------------------------
  6.             Author: Richard John Martin < bd326@Torfree.Net >
  7.                    Senior Consultant, HIGH SPEED DEMONZ
  8.                    - Anti-Virus Research Labs, Canada -
  9.       --------------------------------------------------------------
  10.                       Last Updated: March 8th, 1996
  11.       --------------------------------------------------------------
  12.                            "a work in progress"
  13.       # words: 12263                                   # lines: 1801
  14.       --------------------------------------------------------------
  15.  
  16. OBJECTIVE: This FAQ will explain the WORD MACRO VIRUS family of viruses,
  17. and will explain how infections occur.  It will also when possible, detail
  18. how to clean them up, and how to prevent infections in the first place.
  19.  
  20.       --------------------------------------------------------------
  21.  
  22. Before we get to the details, here is some info regarding the terms I have
  23. chosen to use in this FAQ.
  24.  
  25. Vx or VX refers to the Virus Writing Community at large, regardless of any
  26. individuals virus writing experience, or popularity.
  27.  
  28. AV refers to the Anti-Virus Community, including Researchers, Hobbyists,
  29. and Software/Hardware Developers.
  30.  
  31. GUI refers to Graphical User Interface. <ex. Windows 3.1>
  32.  
  33. MAC refers to Apple MacIntosh Computers, usually both the Current POWER PC
  34. MAC<PPC> and the earlier models. <unless otherwise stated>
  35.  
  36. MS refers to MicroSoft Corporation, and products made by them.
  37.  
  38. PC refers to IBM Brand Computers running on the x86 <including early x88,
  39. AT, XT models> series of processors produced by INTeL, AMD, NeXTGEN, and
  40. CYRIX, as well as IBM Clone or Compatible computers.
  41.  
  42. OS, or Operating System, will refer to the Disk Operating Systems that
  43. handle basic I/O, file management, etc.  MS-DOS, PC-DOS, DR-DOS, DIP-DOS,
  44. Tandy DOS, COMPAQ-DOS all fit into this category.  Operating Systems with
  45. GUI's like WINDOWS NT, OS/2 WARP, MacOS, AMIGADos, and WINDOWS '95 also fit
  46. this category. <it could be argued that WINDOWS '95 is NOT AN OS, as an
  47. enhanced version of the classic MS-DOS OS is loaded prior to the loading of
  48. WINDOWS Environment.>
  49.  
  50. Operating Environments, refers to interfaces that run on top of NON-GUI
  51. OS's such as Windows 3.0, 3.1, 3.11, Windows for Workgroups, early OS/2
  52. versions prior to WARP.
  53.  
  54. Operating Platform, refers to the combination of Computer Architecture, OS,
  55. and sometimes GUI.  Examples of Platforms can include, but are not limited
  56. to the following...
  57.  
  58.        x86 PC's running DOS
  59.        x86 PC's running either DOS/Windows 3.0 - 3.11 <most popular>
  60.        x86 PC's running DOS/OS/2 2.x or lower
  61.        x386 PC's running DOS/Windows For WorkGroups 3.1 - 3.11
  62.        X386 PC's running Windows NT 3.5
  63.        X386 PC's running Windows '95
  64.        x86 PC's running OS/2 Warp
  65.        Apple Macs running MacOS <system x-7.5>
  66.        POWERMacs running MacOS
  67.        Alpha's running NT
  68.  
  69. When Possible, distinctions between PC and MAC centric issues will be made,
  70. but be forewarned this document is PC heavy.
  71.  
  72. NOTE: Use of VIRII as a plural of VIRUS has been dropped from this FAQ.
  73. The term VIRUSES will be used instead.  Complaints can be forwarded to
  74. ALT.COMP.VIRUS where someone will be glad to argue with you till they're
  75. blue in the face! :)
  76.  
  77.       --------------------------------------------------------------
  78.  
  79. WARNING:  User definable virus search strings are littered thoughout this
  80. document.  They will help users with older version of Anti-Virus software.
  81. However, we suggest that you should acquire up-dated copies of the AV
  82. software, which will have these strings included, and save you some
  83. trouble.  Also note that using TOOL/MACRO as a way of hunting down macro
  84. infections can be dangerous.  It is preferred that you use dedicated AV
  85. software to hunt down infection.
  86.  
  87.       --------------------------------------------------------------
  88.                               [[[[ NEWS ]]]]
  89.  
  90. NOTE:  HIGH SPEED DEMONZ now has it's own WWW homepage.  you will find
  91. updated copies of this FAQ at...
  92.  
  93.        http://learn.senecac.on.ca/~jeashe/hsdemonz.htm
  94.  
  95. as well as other sites, including many popular AV sites.  Keep an eye on
  96. the Page, as new things will shortly be added, plus an HTML version of the
  97. FAQ is being prepared.
  98.  
  99. With any luck, things will return to normal around here.  Updated copies of
  100. the FAQ should resume it's former schedule of updates once every 2 weeks.
  101.  
  102.       --------------------------------------------------------------
  103.  
  104. TOPICS/QUESTIONS:
  105.  
  106.        Preface: INTRODUCTION
  107.        =====================
  108.  
  109.        1)  WHAT IS A MACRO?  WHAT IS A WORD MACRO?
  110.                1.1>    WHAT IS A VIRUS?
  111.                1.2>    WHAT IS A MS WORD MACRO VIRUS?
  112.        2)  HOW DOES INFECTION OCCUR?
  113.        3)  KNOWN FEATURES AND LIMITATIONS OF THE WINWORD FAMILY OF VIRUSES
  114.        4)  VIRUS EXAMPLES
  115.                - 4.1 - CONCEPT
  116.                - 4.2 - NUCLEAR
  117.                - 4.3 - COLORS
  118.                - 4.4 - DMV
  119.                - 4.5 - HOT * NEW *
  120.                - 4.6 - MS WORD 2/MS WORD 6.x MACRO TROJAN WEIDEROFFEN * NEW*
  121.                - 4.7 - AMI PRO 3.0 MACRO VIRUS GREEN STRIPE  * NEW *
  122.                - 4.8 - WORDMACRO ATOM / ATOMIC * NEW *
  123.                - 4.9 - FORMATC MACRO TROJAN * NEW *
  124.        5)  STRATEGY FOR CLEANING AND PREVENTING WORD MACRO INFECTIONS
  125.        6)  SUGGESTED SOFTWARE:
  126.                -PRODUCTS THAT CAN DETECT/CLEAN WINWORD VIRUSES INFECTIONS
  127.                 IN DOCUMENTS
  128.        7)  CREDITS & THANKS
  129.        8)  DISTRIBUTION INFORMATION
  130.        9)  WHERE CAN I OBTAIN UPDATED COPIES OF THIS FAQ?
  131.        10) QUESTIONS THAT STILL NEED TO BE ANSWERED...
  132.        11) DISCLAIMER
  133.  
  134.       --------------------------------------------------------------
  135.  
  136. INTRODUCTION:
  137. =============
  138.  
  139. During the last year, we have witnessed the birth of a whole new type of
  140. virus, the WORD 6.0 MACRO VIRUS.  The opening statement isn't entirely
  141. true, as the idea of MACRO viruses isn't a new one, but this is the first
  142. time that a macro virus has spread to the point of being considered "IN THE
  143. WILD" by the Anti-Virus Community.
  144.  
  145. It is possibly the first Virus to be truly a CROSS-PLATFORM <not including
  146. WORMS> infector, since any systems running compatible copies of WORD 6.0,
  147. or those systems that emulate Word 6.0's macro language can be infected.
  148.  
  149. It is also the first group of viruses that prove NON-Executables can infect
  150. systems.  It had been theorized for years by the best in the industry, as
  151. people started to realize the power of the MACRO Languages that were
  152. included with program like 1-2-3, Excel, and numerous Word-Processors.
  153.  
  154. It is far less important to classify these viruses as data or executable
  155. code or both, than to acknowledge their existence, and the need for
  156. preventive measures against them.
  157.  
  158. To better understand the issues covered in this FAQ, the WORD MACRO
  159. VIRUSES, it's necessary to first explain what a virus and a macro is.
  160.  
  161.       --------------------------------------------------------------
  162.  
  163. TOPIC 1: WHAT IS A MACRO?  WHAT IS A WORD MACRO?
  164. ================================================
  165.  
  166. It is best to first describe what a Macro is.  A macro is a collection of
  167. instructions to be carried out by a program or computer.  These
  168. instructions, typically handle tasks that are boring, awkward, and tedious
  169. in nature.
  170.  
  171. Dos users have been using a macro language for years to automate the
  172. mundane and repetitive tasks common to maintaining a computer system.
  173. Commonly known as the BATCH Language.  In DOS, Files with the .BAT
  174. extension are interpreted <by the Command Processor COMMAND.COM> and are
  175. executed line by line, automating tasks <the most common example of a batch
  176. file is the AUTOEXEC.BAT file, found in the root directory on every MS DOS
  177. based PC in the world>.
  178.  
  179. NDOS & 4DOS Users have their own enhanced version of the batch languages
  180. <files with the extensions .BTM>, which allows the same batch files, with
  181. additional commands, to be read by the NDOS or 4DOS command interpreters
  182. <NDOS.COM & 4DOS.COM> as a whole file into memory for execution <which
  183. increases the speed of the batch file>.
  184.  
  185. OS/2 Users have enjoyed an even better Macro Language, the REXX
  186. batch/Programming language.  It is much more robust, and better suited to
  187. deal with demanding tasks.
  188.  
  189. WORD MACROS, are Macros that can carry out and follow lists of
  190. instructions, usually saving a user keystrokes.  The abilities of the WORD
  191. MACROS are limited to the functions provided by the MS WORD WordBasic
  192. Environment, included with the WORD 6.x level of Word Processors from
  193. MicroSoft.  NOTE: WordBasic included with WORD 1.x, 2.x have enought
  194. similar commands in their languages to warrant consideration.
  195.  
  196. Imagine having to add your name, address, phone#, and other personal info
  197. to dozens of documents daily, it would become tedious fast.  Macros can
  198. automate the process, saving alot of time and effort.  The power of the
  199. WordBasic Macro Environment gives the users, both home users and business
  200. users alike the ability to automate many tasks, including file management,
  201. from within MS WORD.  Macros also include the ability to affect other
  202. running applications, via  the Word Macro language, by DDE etc.  Unknown to
  203. the author at this time, it's been theorized that OLE abiltiy may also
  204. exist in the WORDBASIC macro Language. <BOTH DDE and OLE may be entry point
  205. for future viruses>
  206.  
  207. MS WORD MACROS are only executable by the WORDBasic environment, which is
  208. limited to functional copies of MS WORD 6.x /7.x and sometimes 2.0, as well
  209. as WORDVIEW 7.1.  For the sake of this FAQ, MACROS will be considered Data
  210. files.  Macros require interpretation by the WordBasic Environment, and are
  211. not executed in the classic DOS sense.  Executables will be defined as
  212. files that follow the classic standards, including EXE, COM, NEWEXE, BAT
  213. <yes they are interpreted, but they are also almost always DIRECTLY
  214. executed by the user, and as such almost fall into the same GREY area that
  215. these macro viruses fall into> as well as the programs in the boot-sector,
  216. master boot sectors.  It could be argued that WORD macro are a combination
  217. or data and executable code.    A notable exception to the batch file rule,
  218. is the WINSTART.BAT file, which Windows 3.11 for WorkGroups looks for in
  219. every directory in the path, and tries to execute.  It'll be executed
  220. whether the user wishes it to be or not.
  221.  
  222. NOTE: David Harley <harley@europa.lif.icnet.uk> and Joseph Stafford
  223. (stafford@twsuvm.uc.twsu.edu) have noted that MicroSoft Word Wizards are
  224. also WORD Macros.  Wizards are simply templates with the WIZ extension,
  225. which include an AutoNew Macro, which call a Start Wizard Macro.  WIZ files
  226. may soon fall prey to macro infections.
  227.  
  228.       --------------------------------------------------------------
  229.  
  230. TOPIC 1.1: WHAT IS A VIRUS?
  231. ===========================
  232.  
  233. A computer VIRUS, is a  <usually compiled> computer program, that is able
  234. to replicate in whole or part it's code, by infecting or modifying other
  235. programs, and adding to or overwriting the code of uninfected files with
  236. code <possibly evolved or unique forms of the infector> that will in turn
  237. infect other programs.  Viruses must be able to replicate.  A Virus that is
  238. unable to replicate isn't technically a virus. <by our definition>
  239.  
  240. NOTE:  Viruses can and sometimes do infect files indirectly, without
  241. altering the CODE of executable files.  For instance, File System or
  242. Cluster viruses ( Dir-II, BYWay ) are those which alter directory entries,
  243. pointing a legitimate directory entry first to it's malicious code, so the
  244. virus can be executed, and then the desired program is executed.  The
  245. program itself is not physically altered, but the directory entry is.
  246.  
  247. Viruses may, and often do have destructive bombs or payloads, which do
  248. something other than replicate.  Many payloads include destroying data,
  249. deleting files, encrypting parts of hard drives, etc.  Common targets for
  250. Viruses include standard Executables like *.COM, *.EXE, and NEWEXE files,
  251. as well as the programs used by the computer to boot up, including the
  252. programs <executable code> found in Boot sectors, and Master Boot Sectors.
  253. Other DOS executables can also be infected, such as *.DLL and *.BIN, *.DRV,
  254. *.OV? *.OB? and *.SYS files.  Not all of these executable will allow for
  255. the proper execution of viral code, and can/may either hang the machine,
  256. crash a session, or simply not function, producing numerous errors.  Common
  257. examples of executable files include COMMAND.COM, EMM386.EXE,  Windows
  258. Executables, MOUSE.DRV, DRVSPACE.BIN, and HIMEM.SYS. <everyone with Modern
  259. release of MS-DOS and WINDOWS should recognize these files>
  260.  
  261. A sub-class of viruses, known as Trojan Horses, are commonly, and possibly
  262. incorrectly considered viruses.   A Trojan Horse, named after the Greek
  263. Battle Tactic, is a program, that is stated and promoted as being able to
  264. do something useful or interesting <like a game or utility>, but in turn
  265. does something malicious.<like drop a virus for later infection>  Trojans
  266. typically DO NOT ACTIVELY REPLICATE.  They may inadvertently get copied
  267. around and distributed, but this has little or nothing to do with any
  268. replication code in the TROJAN.
  269.  
  270. NOTE : It can be argued that Viruses by the above definition, are Trojans.
  271. This argument would have Viruses listed as replicating Trojans.  Defining
  272. these two groups of programs isn't really relevant, as long as you
  273. understand the premise behind both groups.  For a more detailed definition
  274. of VIRUSES, refer to the ALT.COMP.VIRUS VIRUS FAQ, by David HARLEY, or the
  275. COMP.VIRUS/VIRUSL FAQ's on VIRUSES.  Both are an excellent source of virus
  276. related info.  Both are reposted regularly to their respective newsgroups.
  277.  
  278.       --------------------------------------------------------------
  279.  
  280. TOPIC 1.2: WHAT IS A MS WORD MACRO VIRUS?
  281. =========================================
  282.  
  283. An MS WORD MACRO Virus, is a macro <list of instructions> or template file
  284. <usually with the .DOT extension> which masquerades as legitimate MS WORD
  285. documents <usually with the extension *.DOC>.  An infected *.DOC file,
  286. doesn't look any different to the average PC user, as it can still contain
  287. a normal document.  The difference is that this document is really just a
  288. template or macro file, with instructions to replicate, and possibly cause
  289. damage.  MS WORD will interpret the *.DOT macro/template file regardless of
  290. extension, as a template file.  This allows for it being passed off as a
  291. legitimate document <*.DOC>  This FAQ takes the position that a document is
  292. meant to be DATA, and a MACRO is at least partially executable CODE.  When
  293. a document has been infected, it has been merged with executable code in a
  294. multi-part file, part data/part executable.  This tends to be hidden from
  295. the user, who expects a document to be data that is READ, and not some
  296. combination of DATA and executable code designed to be executed, often
  297. against the will of the user, to wreck havok.
  298.  
  299. These viruses commonly tend to infected the global macros, which get
  300. automatically saved at the end of each session.  When the next session of
  301. MS WORD opens, the infected Global Macros are executed, and the WORD
  302. Environment is now infected, and will in turn be likely to infect documents
  303. whenever they are opened, closed, and created during all future sessions.
  304.  
  305. As a Virus, the WORD MACRO VIRUSES do REPLICATE.  They can spread in most
  306. cases to any MS WINDOWS Environment or OS that runs a compatible copy of MS
  307. WORD 6.x or 7.x, MS WORD 6.x running on OS/2, as well as WORD for MAC 6.0
  308. for MacOS.  This makes it a multi-platform/multi-OS file infector.  It also
  309. makes it one of the first non-research viruses to be successfully spread to
  310. all of these environments and OS's
  311.  
  312. MS Word Macro Viruses reside in interpreted data that can spread to
  313. different OS's/platforms.  These viruses do not spread via modification of
  314. executable machine code, but by modification of data in files that are
  315. interpreted by the Microsoft Word 6.0 program and any other versions of
  316. Word that support macros and WordBasic.
  317.  
  318. MacIntosh Word Users have an advantage over the PC world, as infected
  319. documents appear with the template icon, rather than the usual document
  320. icon.  This means that Mac Users can visually tell before-hand whether a
  321. Document is infected or not.
  322.  
  323. For responsible Word 6.x users, Macros can also be of great use.  The Macro
  324. Language of WORD 6.x <WORD BASIC> is a powerful tool, and can accomplish
  325. many tasks, including altering files, copying files, and executing other
  326. programs. What makes this macro language so powerful is also what makes it
  327. a target for the Vx community.  The idea of the Vx community exploiting
  328. macro languages had been theorized for years, but has only recently been
  329. developed and spread throughout the world.
  330.  
  331. WordBasic Macro Language is much simpler to learn and master than
  332. ASSEMBLER, or other popular higher Level programming languages, and for
  333. this reason, Vx people <both new and old alike> have taken to it as a
  334. viable alternative to learning and coding ASM .  The thought of ticking
  335. users off on more than one platform has been around for years, and now
  336. thanks to MS WORD, and all it's compatible versions on other popular
  337. platforms, the Vx people have their wish.  Another Bonus of this new outlet
  338. for Vx writers, is that many virus scanners only scan Executable files,
  339. leaving the .DOC files of WORD alone.  It is important to note that many AV
  340. producers have now included scanners/cleaners to their software, allowing
  341. for the detection of existing MS WORD Macro Viruses.
  342.  
  343. Vx people also know that many people never exchange programs, but regularly
  344. exchange documents <those in the corporate circles for example> which meant
  345. that there was a whole new region of unsuspecting users to infect.  On top
  346. of the power and lower learning curve of this language, and the popular
  347. past conception that non-executables are relatively safe from infection and
  348. becoming themselves infectors has allowed the Word Macro Virus spread like
  349. "Wildfire". < Editor smiles :) >
  350.  
  351. Even until just recently, members of the respected AV community
  352. inadvertently continues these classic misconceptions that NON-executables
  353. <DATA FILES> cannot infect systems, and that no VIRUS can infect on a
  354. CROSS-PLATFORM basis.  F-PROT V2.21 <Dec '95> continues these
  355. misconceptions in the file VIRUS.DOC, included with their DOS command line
  356. scanner...
  357.  
  358.        "A virus cannot spread from one type of computer to another.  For
  359.        example, a virus designed to infect Macintosh computers cannot
  360.        infect PCs or vice versa."
  361.  
  362.        "A virus cannot infect a computer unless it is booted from an
  363.        infected diskette or an infected program is run on it.  Reading
  364.        data from an infected diskette cannot cause an infection."
  365.  
  366. This isn't meant to be a knock on F-PROT... they easily have one of the
  367. best virus scanners on the market.  They're just too busy keeping us
  368. VIRUS-FREE that they simply haven't gotten around to updating this older
  369. file! :)  <Info on obtaining a copy of F-PROT is included in the SUGGESTED
  370. SOFTWARE area of this FAQ.>
  371.  
  372. Heck, a year ago, those two quotes were standard replies to virus related
  373. questions regarding how viruses spread, and at the time you'd be
  374. hard-pressed to prove these quotes wrong. Now, the new realities are
  375. setting in.  The MS WORD Macro Virus Family have changed the rules.
  376. Infection from simply reading a document is NOW possible.
  377.  
  378. So, a WORD MACRO Virus, is a collection of instructions, known as a macro
  379. or template which WinWord <Word 6.x> executes.  The list of instructions in
  380. the macro can copy and delete files, alter them, make whole changes to
  381. template files, drop other viruses, and execute programs, including ones it
  382. has dropped.  These Macro Viruses <as defined in section 1> aren't directly
  383. executable.  They are actually read <and interpreted and executed> by the
  384. MS WORD WordBasic Interpreter.  This is the first time a virus infection
  385. has occurred in the mainstream user market where a file was only read <or
  386. at least the user thought was only going to be read> for it to be
  387. executed.
  388.  
  389. MSN - MicroSoft Network, and other similar ON-LINE services, have also
  390. contributed to the spread of Word Macro Viruses, via a feature included in
  391. their terminal programs, MIME-compliant mailers (e.g., Eudora). and WWW
  392. browsers (e.g., Mosaic and Netscape).  This features, allows users to
  393. download and view .DOC files while on-line...  the terminals can run the
  394. associated program for .DOC files, <MS WORD> and therefore immediately
  395. infect users systems.  This mechanism WILL also allow the virus to be
  396. introduced into your system via mail or a WWW page.  Use such automatic
  397. execution with caution.  Had the Macro Viruses never been created, this
  398. feature would be of benefit.
  399.  
  400. NOTE:  Reading Infected documents with anything other than a copy of MS
  401. WORD will not activate and spread the infection.  For the virus to become
  402. active, MS WORD is required, and it must be WORD that is used to view the
  403. document.  For example, NORTON UTILITIES Norton Commander <DOS> has a
  404. document viewer, able to view 10-12 of the most popular formats for
  405. documents, including various versions of WORKS, WORD and WordPerfect
  406. documents.  Using the viewer to read an infected document, and telling it
  407. to use WORD 6.x format, will allow you to view the document, but will NOT
  408. and CAN NOT execute any macros.
  409.  
  410. At the time of this writing, it was mentioned to me that MicroSoft had
  411. released a WORD Document Viewer, that does not execute Macros, that could
  412. be used in place of WORD for the purpose of viewing Documents while
  413. on-line.  MSN or it's affiliated BBS services should have the file
  414. available for download.
  415.  
  416. UPDATE: Eric Phelps noted that a newer version to the WORD Viewer is now
  417. available from MS, called WordView 7.1.  Unlike it's predecessor, it will
  418. execute some MACROS.  Users who uses the Veiwer to prevent macro infection,
  419. should stick to the previous version.  This WordView 7.1 doesn't have a
  420. NORMAL.DOt to infect, but it still allows for an entry point into your
  421. system.  Use WordView 7.1 with caution.
  422.  
  423.       --------------------------------------------------------------
  424.  
  425. TOPIC 2: HOW DOES INFECTION OCCUR?
  426. ===================================
  427.  
  428. Typically, a MACRO infection occurs when an infected macro instructs the
  429. system to overwrite or alter existing system macros with infected ones, by
  430. adding to or altering macros in the GLOBAL MACRO list, which in turn tend
  431. to infect all documents opened and written thereafter.
  432.  
  433. When Word opens a document <.DOC>, it first looks for all included macros
  434. in it.  This is alittle misleading... MS WORD looks at the DOC, first
  435. thinking it is a DOC, but finds that it has TEMPLATE/MACRO code <meaning it
  436. isn't technically a document, but a template file> If it finds the AutoOpen
  437. Macro, or other AUTO macros, Word will automatically execute this macro.
  438. Typically, in the case of an infected .DOC file, this macro will instruct
  439. the system to infect important key macros and template files. Those Macros
  440. will in turn infect any documents opened thereafter. <hence the Term
  441. VIRUS>
  442.  
  443. Typically, the FileSaveAs Macro is replaced or overwritten, so that an
  444. infected copy can then determine how all future documents will be saved.
  445. This means it gains the control of what file format to save in, and what
  446. macros to include into the document.  All this is seamless, and most of the
  447. time you may not even realize this is happening.   When the user executes
  448. the FileSaveAs command, the virus (e.g., Concept) displays the *usual*
  449. dialog box, letting the user fill in the fields for the file name,
  450. location, type, etc. Onl *afterwards* the virus changes the type of the
  451. file to template - so the user doesn't see anything unusual.  AutoOpen and
  452. other Macros are then included into documents.   When exchanging documents
  453. with uninfected computers, the system becomes instantly infected as soon
  454. you try to view and load the infected document <macro/template> with a
  455. compatible copy of MS WORD!
  456.  
  457. At the end of a WORD session, MS Word automatically saves all Global Macros
  458. into the Global Macro File, typically the Normal.DOT file.  Now all future
  459. sessions of Word will infect documents it opens until you replace
  460. NORMAL.DOT with an uninfected copy.  <or delete the infected macros>
  461. Otherwise, MS Word Loads, and will load infected GLOBAL MACROS before you
  462. do a single thing.  NOTE: Some macros will save to the Global macros on
  463. their own!
  464.  
  465.       --------------------------------------------------------------
  466.  
  467. TOPIC 3: KNOWN FEATURES AND LIMITATIONS OF THE WINWORD FAMILY OF VIRUSES
  468. ========================================================================
  469.  
  470. Common features of this family of viruses include the inability to save an
  471. infected document in any format other than Word Template Format, the
  472. documents are converted into Template format <used internally in Word, and
  473. by the user>, and tends to disallow saving of file/document in any other
  474. directory using the SAVE AS command<You can save the infected document
  475. anywhere you want - when it is first infected. Only if you *load* an
  476. *already infected* document, and *then* try to use the FileSaveAs command
  477. on it, will Word try to force you to save it in the template directory -
  478. because it is now a template; not a simple document.>.  Most WORD MACRO
  479. VIRUSES and TROJANS to DATE only affect ENGLISH ONLY Copies. Some
  480. exceptions apply.  In Nationalized copies of WORD, the macro language
  481. commands have been translated to the national language, therefore macros
  482. created with the English version of Word will not work. <makes perfect
  483. sense to me... anyone know how AutoOpen is spelled in French? :) >
  484.  
  485. [ according to Vesselin Bontchev <bontchev@complex.is> The auto macros are
  486. always spelled in one and the same way in al nationalized versions. It is
  487. things like FileSaveAs that are translated ].
  488.  
  489. NOTE:  PC Users will likely not notice the difference between a TEMPLATE
  490. infected file masquerading around as a document file, as word will
  491. recognize Macro Templates in a file regardless of the extension used by the
  492. Template <Default *.DOT>.  <Send Complaints to BILL GATES, C/O MICROSOFT
  493. CORP.> MacIntosh Users can visually tell whether a Document is infected or
  494. by, since infected documents appear with the template/macro icon, instead
  495. of the normal document icon.  A file that is indicated by a template icon
  496. may simply be a harmless template, that the user has made, containing
  497. legitimate macros.  This MAC advantage will depend on how the document is
  498. opened.  Opening with the File / Open command will not help a MAC user make
  499. the distinction.  Viewing parameters for a folder will also determine
  500. whether a MAC user will notice the template file.  Viewing by size, name,
  501. or date will not help, as the icon isn't displayed properly.
  502.  
  503. A Feature common to most viruses of this type is the ability to spread to
  504. other platforms, making this family of viruses unique, and dangerous.  They
  505. can and will spread to almost any platform operating with a compatible copy
  506. of MS Word 6.x+.  <some exceptions apply>
  507.  
  508. Although other word processors like WordPerfect and Ami Pro do support
  509. reading MS Word documents, they can not be infected by these viruses. These
  510. program have the ability to read documents, but not to execute the macro
  511. language command that may be imbedded.
  512.  
  513. It's worth noting that macro viruses whose payloads have no effect on a Mac
  514. (PC emulators excepted) will nevertheless replicate on the Mac unless they
  515. use one of the relatively few WordBasic functions specific to Windows in
  516. the infection/replication routine.
  517.  
  518.       --------------------------------------------------------------
  519.  
  520. TOPIC 4: VIRUS EXAMPLES
  521. =======================
  522.  
  523. There are a number of Word Macro viruses in the wild, the first and
  524. foremost being the CONCEPT Virus. <although DMV was created first, CONCEPT
  525. is what pushed this new breed of viruses into the wild FIRST.  It was the
  526. first to be widely recognized as a nuisance.
  527.  
  528.       --------------------------------------------------------------
  529.  
  530. 4.1: Concept Virus :
  531. ====================
  532.  
  533. Also known by the Aliases of WW6Macro, WinWord.Concept, Word Basic Macro
  534. Virus (WBMV), Word Macro 9508 <MAC> and Prank Macro <MicroSoft named it
  535. Prank, to downplay the seriousness of the situation>.  This was the first
  536. MS Macro Virus to be detected by the Anti-Virus community, and the first
  537. Macro Virus to be considered in the wild, with infections spreading to the
  538. US, UK, France, Germany, Bulgaria, Canada, the Netherlands, Turkey, and
  539. Finland, and other Countries.
  540.  
  541. The proliferation of this virus is widespread, mainly due to 2 companies
  542. ACCIDENTLY shipping this virus in infected documents found on their
  543. CD-ROMS.  The first CD-ROM was...
  544.  
  545.         MicroSoft Windows '95 Software Compatibility Test
  546.  
  547. which was shipped to thousands of OEM companies in mid 1995.  In
  548. August/September Microsoft distributed the Concept virus on a CD-ROM in the
  549. UK called...
  550.  
  551.         "The Microsoft Office 95 and Windows 95 Business Guide"
  552.  
  553. The infected file is \Office95\Evidence\Helpdesk.DOC, dated August 17th,
  554. 1995, <121,856 bytes> The third CD was...
  555.  
  556.         Snap-On Tools for Windows NT
  557.  
  558. which was distributed by ServerWare, who immediately withdrew it, warned
  559. recipients, and re-mastered it. MicroSoft Corp.  is to be commended for
  560. acknowledging their part in the spreading of this new virus, <calling it a
  561. PRANK> and their effort in controlling the spread of it. They were quick to
  562. respond to this new Virus threat with a Macro Scanner/Cleaner which is
  563. available freely for download from MSN and associated services. <Note: it's
  564. buggy>
  565.  
  566. This commendation should be taken with a grain of salt, as MicroSoft waited
  567. up to two months before admitting there was a problem, down playing the
  568. seriousness of the situation, and calling it a PRANK Macro, not befitting
  569. an acknowledgment as a REAL virus in their view.  MS in turn requested help
  570. from AV insiders, and subsequently released their own flawed FIX.  AV
  571. people wanted info regarding internal information of the WORDBASIC Macro
  572. Template Format.
  573.  
  574. Such help wasn't forthcoming, at least not until months later.   During the
  575. whole time that the bulk of the AV people waited for help, MS cited their
  576. FIX as being the only thing that CAN deal with this new virus, and that
  577. Current AV Products were useless. <not the first time MS has thrown rocks
  578. at competitors...>  The statement from MicroSoft is only partially true, as
  579. a number of AV companies figured out the Macro format on their own, and
  580. released their own fixes. Those of us who are used to dealing with
  581. MicroSoft would agree that 5 months of waiting, being told you're wrong,
  582. then finally getting the help you asked for was "a quick response". :)
  583.  
  584. A CONCEPT Infection is easy to notice, on the first execution of the virus
  585. infected document (on the first opening of the infected file) the
  586. MessageBox appears with digit "1" inside, and "Ok" button.  Also, simply
  587. checking the TOOLS/MACROS option to check loaded macros, the presence of
  588. concept is apparent by the appearance of these 5 macros :
  589.  
  590.        AAAZFS *
  591.        AAAZAO *
  592.        AutoOpen
  593.        PayLoad *
  594.        FileSaveAs
  595.  
  596. NOTE:  Using the Tools/Macro option to view in memory macros can be
  597. misleading, and dangerous, as some viruses will intercept this call.  The
  598. Tools/Macro option should be used with caution with all viruses, and
  599. shouldn't be considered as a genera way to look for macro viruses. The
  600. Colors virus for example intercepts this comman and activates if it is
  601. used.
  602.  
  603. You may be currently using legitimate macros that go by the names of
  604. AutoOpen and FileSaveAs, so these two may not be out of place.  However, it
  605. is unlikely that you use legitimate macros with names like Payload, AAAZFS,
  606. and AAAZAO.  These 3 are the clearest signs of an infection.
  607.  
  608. Note: As has been noted in some press releases, the virus code is simple
  609. for a novice to modify, so variants may also be present or appear soon.
  610. The Macros are UNEnencrypted, and are easily viewable.
  611.  
  612. The following Text strings are in the infected documents...
  613.  
  614.        see if we're already installed
  615.        iWW6IInstance
  616.        AAAZFS
  617.        AAAZAO
  618.        That's enough to prove my point
  619.  
  620. Also, the line...
  621.  
  622.        WW6I=1
  623.  
  624. is added to WINWORD6.INI on infected systems.
  625.  
  626. The Concept Virus is able to run on compatible systems running Microsoft
  627. Word for Windows 6.x and 7.x, Word for Macintosh 6.x, as well as in Windows
  628. 95 and Windows NT environments. In Macintosh Word, infected documents
  629. appear with the template icon, rather than the usual document icon.
  630.  
  631. NOTE TO WINDOWS '95/WORD '95 USERS:  Those of you who are running Windows
  632. 95 and Word 95, and have Word set up to act as your Exchange mail program;
  633. <WordMail.> are protected from the spreading abilities of CONCEPT, as
  634. WORDMAIL disables the capability that lets Concept spread, so you cannot
  635. get infected by reading mail with WordMail. However, if an incoming message
  636. has an attached infected Word document, and you double-click on that
  637. document to open it in Word, you will get infected.
  638.  
  639. F-Prot has made an Anti-Viral FIX for this ONE virus, known as WVFIX.  It
  640. detects a Concept Infection, and can make modifications to WORD settings on
  641. PC's to prevent further re-infection by this one virus.  Available now
  642. from...
  643.  
  644.        Data Fellows FTP URL
  645.        ftp://ftp.datafellows.fi/pub/f-prot/wvfix.zip
  646.  
  647. and...
  648.  
  649.        Command Software System's FTP site
  650.        ftp://ftp.commandcom.com/pub/fix/wvfix.zip
  651.  
  652. and is included on F-PROT for DOS Diskettes.  If you don't have F-PROT
  653. Professional which detects this virus, you can detect it manually with
  654. older F-PROT versions, by placing the following 2 lines into your F-PROT
  655. USER.DEF file, found in your F-PROT for DOS Directory...
  656.  
  657.        CE WordMacro/Concept
  658.        646F02690D6957573649496E7374616E63650C67
  659.  
  660. then turn on the USER-DEFINED section of the Targets menu, and add *.DO? as
  661. an extension to scan for, or scan for ALL FILES.  If F-PROT finds an
  662. infected document with this method, use WVFIX to do an additional scan of
  663. to confirm infection, as legitimate documents may get flagged using the
  664. above search string.
  665.  
  666. SOPHOS SWEEP users can add detection of this virus to their older scanners
  667. by executing Sweep in full Mode with the following <meant as one line, but
  668. displayed below as 2...> command...
  669.  
  670.        SWEEP C:\*.* -F -REC
  671.        -PAT=575736496e666563746f720606646f026904734d65240c67
  672.  
  673. Sweeps SWEEP.PAT file can also hold this pattern for you, so that you do
  674. not need to type it out every time you wish to scan.  Add the following to
  675. the SWEEP.PAT file using an ASCII Text Editor...
  676.  
  677.        Concept 5757 3649 6e66 6563 746f 7206 0664 6f02 6904 734d 6524 0c67
  678.  
  679. Users of IBM's Anti-Virus can add protection to their system for this Virus
  680. Manually, or can acquire updated copies of AntiVirus from IBM.  To Manually
  681. add detection of CONCEPT to IBM AntiVirus add the following three lines to
  682. an ADDENDA.LST file in the same directory as VIRSIG.LST
  683.  
  684.         07734D6163726F24126A0D476C6F62616C3A4141415A414F
  685.         %s the WordMacro.Concept %s
  686.         DOC and DOT (COM format) files.  Mismatches=0.  No fragments.
  687.  
  688. Then use the "Check System" dialog to add "*.DOT" to the list of patterns
  689. to check, or simply instruct IBM Anti-Virus to scan ALL FILES.
  690.  
  691. PC Users can also acquire the Macro Virus Protection Tool. (On CompuServe
  692. or AOL, GO MS; on Microsoft Network, GO MACROVIRUSTOOL.) Follow the
  693. instructions to run the file. It will look for macro viruses, both among
  694. your macros, and any documents you specify. It will also install special
  695. macros that will help prevent any further infection.
  696.  
  697. If you use SCAN.DOC, make sure that your copy of the "cleanall" macro is
  698. not one of the early releases which contained a typo! Look for the line
  699. Dlg.Pat$ = "*.doc;*.dot" used to set up the ".Name" argument for FileFind.
  700. There should be NO space between the semicolon and the second asterisk. A
  701. space here (found in early releases) prevents looking for ".DOT" files.
  702.  
  703. Microsoft has also made software available to counter this virus <on MACS>,
  704. obtainable via the WWW from...
  705.  
  706.         <http://www.microsoft.com/kb/softlib/mslfiles/mw1222.hqx>
  707.  
  708. and via ftp from...
  709.  
  710.         <ftp://ftp.microsoft.com/softlib/mslfiles/mw1222.hqx>.
  711.  
  712. This FIX from Microsoft only renames the virus rather than removing it.
  713. Also note that the file system scan function supplied ("Scan.doc") may not
  714. actually find every occurrence of infected files on a Macintosh. A few
  715. others vendors of major Macintosh anti-virus software are planning minor
  716. releases of their products to cope with this virus or help identify its
  717. presence.
  718.  
  719. If you need additional information, call Microsoft Product Support Services
  720. at...
  721.  
  722.         206-462-9673 for Word for Windows
  723.         206-635-7200 for Word for the Macintosh
  724.  
  725. or send an Internet e-mail message to...
  726.  
  727.         wordinfo@microsoft.com
  728.  
  729. Further info on CONCEPT Virus <albeit with an emphasis on the DOS, OS/2 and
  730. Windows environments> is available from IBM's WWW server:
  731.  
  732.         <http://www.research.ibm.com/xw-D953-wconc>.
  733.  
  734. Note: A Personal Solution for this Virus is possible.  Simply make 2 dummy
  735. macros <they don't need to do anything>, one as Payload, the other as
  736. FileSaveAs.  This virus checks for the presence of these macros, and if
  737. found, DOES NOT infect your system<The virus checks for the presence of
  738. *either* of these macros, so usin just one (any) of them is sufficient>.
  739. This is a CONCEPT virus solution only, and will likely become useless with
  740. any future variants of Concept.
  741.  
  742.       --------------------------------------------------------------
  743.  
  744. 4.2: Nuclear :
  745. ==============
  746.  
  747. Known widely as Winword.Nuclear, Wordmacro-Nuclear and Wordmacro-Alert.
  748. This virus was the first WordMacro virus to infect <or at least to attempt
  749. to infect> both data/documents <Word Documents .DOT and .DOC> as well as
  750. executables <.COM/.EXE/NEWEXE>
  751.  
  752. In truth, it is 2 viruses, a macro virus which alters the Operating
  753. Environment of WORD, and an executable file infector <as well as a system
  754. file deleter>.  This makes NUCLEAR the first Macro Virus to also
  755. incorporate, or at least try to incorporate a classic File Infector Virus.
  756. This virus is actually quite ineffective in the destructive sense, detailed
  757. later in this document. The infected documents contains the following nine
  758. Macros...
  759.  
  760.        AutoExec
  761.        AutoOpen
  762.        FileSaveAs
  763.        FilePrint
  764.        FilePrintDefault
  765.        InsertPayload   *
  766.        Payload         *
  767.        DropSuriv       *
  768.        FileExit
  769.  
  770. which get copied into the GLOBAL Macro List.
  771.  
  772. General detection of NUCLEAR is easy, simply view the macros listed under
  773. the Macros command under the Tools Menu.  If Macros "InsertPayload",
  774. "Payload", and "DropSuriv" are listed, then you'll likely have a NUCLEAR
  775. infection. <unless you named legitimate macros with the same names... :) >
  776. NUCLEAR hides itself from detection, by disabling the "PROMPT FOR CHANGES
  777. TO NORMAL.DOT" option.  Changes are made, and the user doesn't notice
  778. anything.
  779.  
  780. NOTE: Use of the TOOL/MACRO command can be dangerous.  Some viruses subvert
  781. this command.  Use with caution.  Use AV software to find and delete
  782. infected macros.
  783.  
  784. The "InsertPayload" Macro will cause the following text to be added to the
  785. end of printouts when printing documents. Every 12th printout will have the
  786. following text added...
  787.  
  788.        And finally I would like to say:
  789.        STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC!
  790.  
  791. which is appended to the file after the command to print is issued but
  792. prior to the actual printing. FAX's sent via a FAX Print Driver will also
  793. be affected, this much I know first hand.  From testing, I came to the
  794. realization that some Vx putz will start messing with my outgoing faxes
  795. behind our backs.
  796.  
  797. Another included Macro, is "Payload" which tries to delete IO.SYS,
  798. MSDOS.SYS and COMMAND.COM on April 5th. It is ineffective, as WordBasic
  799. can't reset the attributes of a file which has the System attribute set.
  800. It has been noted that a variant that does work is being circulated.
  801.  
  802. The Second part of the Nuclear Virus is the executable infector.  The
  803. DropSuriv Macro checks system time, and will attempt to drop the file
  804. infector between 17:00/18:00.  However, the routine is flawed, and
  805. shouldn't work on any system.  <fails due to a syntax error - not closed IF
  806. statement, which makes this payload never executed> If DropSuriv DID work
  807. properly, it would search for the standard DOS util DEBUG.EXE, if found,
  808. the macro drops PH33r.SCR & EXEC_PH.BAT.  The Bat File is executed, and
  809. then the hex dump file PH33r.SCR is converted from a DEBUG script into an
  810. executable, and is in turn executed.  Later, the .SCR and the .BAT files
  811. are deleted to cover its tracks.  The File infector then hooks INT 21h and
  812. writes itself at the end of COM/EXE/NewEXE files.  <however, the memory is
  813. released once this DOS task is completed, includes the memory resident
  814. virus Ph33r> Unconfirmed reports state that a NUCLEAR infected Macro with a
  815. fully operational DropSuriv Macro exist.
  816.  
  817. The following text strings are in the executable infector...
  818.  
  819.        =Ph33r=
  820.        Qark/VLAD
  821.  
  822. SOPHOS SWEEP users can use a user-defined search string to find NUCLEAR,
  823. simple by executing the following command <the following 2 lines are
  824. actually ONE log one> using Sophos' SWEEP in full mode...
  825.  
  826.        SWEEP C: -F -ALL
  827.        -PAT=63e6e5e5ee8fe6e3e48fefe3fd87b1c98aeaad8ca7918c93
  828.  
  829. Discovered on the internet, the discovered infected file ironically was
  830. supposed to provide info on a previous Macro Virus, Concept.  Mac Users
  831. will notice an infected document, since infected documents appear with the
  832. template icon, instead of the usual document icon.
  833.  
  834.       --------------------------------------------------------------
  835.  
  836. 4.3:  Colors:
  837. =============
  838.  
  839. Colors, is the first WINWORD Macro Virus that could be called cute <IMHO>.
  840. This Virus has the noticeable ability to alter the Windows colors settings.
  841. Mac Word is immune to the payload <the system colors attack> but is still
  842. susceptable to the infection mechanism, which will attack documents.
  843. Detection of infections is easy, as infected documents appear with the
  844. template icon, rather than the usual document icon.
  845.  
  846. Commonly known as Rainbow or WordMacro.Colors, this virus was freely posted
  847. to usenet newsgroups on October 14th, 1995. The Colors Virus will infect
  848. the global template <usually NORMAL.DOT> upon opening of an infected
  849. document.  An infected document contains the following macros:
  850.  
  851.        AutoOpen
  852.        AutoClose
  853.        AutoExec
  854.        FileNew
  855.        FileExit
  856.        FileSave
  857.        FileSaveAs
  858.        ToolsMacro, and other macros.
  859.  
  860. All Macros included in COLORS are Execute-Only, and cannot be viewed or
  861. edited by MicroSoft Word.  If normal "clean" macros with the same names
  862. existed prior to infection, they will be overwritten by COLORS.
  863.  
  864. The AutoExec Macro of COLORS is an EMPTY Macro, possibly designed to defeat
  865. any ANTI-MACRO-VIRUS schemes developed by the AV community.  It
  866. accomplishes this by overwriting a "CLEANING/SCANNER" AutoExec Macro with
  867. COLORS empty one, effectively making the AV Scanner/Cleaner useless.  The
  868. Cleaner Provided by Microsoft would fall victim to this attack, and
  869. subsequently be rendered useless.
  870.  
  871. COLORS will also enable AutoMacros in case you were smart and disabled
  872. them!  It will also disable the MS Word's Prompt to save changes to
  873. NORMAL.DOT.
  874.  
  875. COLORS is crafty, as it can spread without the use of AUTO macros...  thus
  876. defeating the DISABLE AUTOMACROS Feature.  It does so via the Macros:
  877.  
  878.        File/New
  879.        File/Save
  880.        File/SaveAs
  881.        File/Exit
  882.        Tools/Macro
  883.  
  884. COLORS will infect NORMAL.DOT whenever a user chooses any of the above
  885. functions.  It also has limited stealth ability, earning it the title of
  886. being the first WINWORD STEALTH MACRO VIRUS.  It accomplishes it's stealth
  887. actions, by hiding itself from the active listing, since attempting to view
  888. active macros would run the COLORS infected Tools/Macro, thus hiding it's
  889. own presence while simultaneously infecting your system.  However, deleting
  890. these macros is easy, simply use the File/Templates/Organizer/Macros to
  891. view the names of virus' macros and delete them.
  892.  
  893. The COLORS virus will keep track of infections via a counter, named
  894. "countersu", which can be found under the [Windows] section of the WIN.INI
  895. file.  Whenever an infected macro is executed, the counter is incremented
  896. by a count of one.  It quickly adds up, when you consider how much you
  897. OPEN, CREATE, SAVE, EXIT, and CLOSE documents.  When the increment counter
  898. reaches 299, and every 300th execution thereafter, COLORS will be
  899. triggered.  COLORS will then make changes to the system colors setup,
  900. including text, background, borders, buttons, etc., using randomly
  901. determined colors.  The new color scheme becomes apparent to the user
  902. during the next session of Windows.
  903.  
  904. NOTE: MicroSoft Word for Macintosh is immune to this effect.  In Macintosh
  905. Word, infected documents appear with the template icon, rather than the
  906. usual document icon, which alerts the user to this infection.  Only Copies
  907. of WORD running on a Windows OS or Windows Operating Environments will
  908. suffer these effects.  PPC Macs running emulation software that allows
  909. Windows and Windows WORD 6.x to run could be hit by this payload. <Does
  910. current PPC MAC allow for Windows and Word to be run on it??? >
  911.  
  912. Colors ability to spread without the use of AutoExecute Macros, and its use
  913. of Advanced Stealth techniques signals a new level of MACRO virus
  914. technology.  <Hiding itself from view when you actively look for it defines
  915. STEALTH in my book, since it evades detection> It also adds fuel to the VxD
  916. argument, as an on access scanner could prevent infection by this type of
  917. stealthy virus.  NOTE: Check SUGGESTED SOFTWARE section for AV developers
  918. with VxD scanners
  919.  
  920. F-Prot Users should note that F-PROT Professional 2.20 is not able to
  921. detect the Colors macro virus, but you can detect it manually by following
  922. the same method used in the CONCEPT section of this FAQ for Scanning with
  923. F-PROT and it's user Defined Strings.  In this Case, use the following 2
  924. lines, which are to be added to your USER.DEF file.
  925.  
  926.        CE WordMacro/Colors
  927.        0100066D6163726F730100084175746F45786563
  928.  
  929.       --------------------------------------------------------------
  930.  
  931. 4.4: DMV:
  932. =========
  933.  
  934. Commonly known as WordMacro.DMV, DMV is an unremarkable TEST Virus,
  935. possibly the first to be created using the WORDBasic Language.  Joel
  936. McNamera wrote it in the fall of 1994, as a real time TEST for some MACRO
  937. Virus Theories.  The Virus was kept under wraps, and a detailed paper was
  938. published.  This TEST virus was only released, as an educational aid, after
  939. the CONCEPT virus was discovered.  DMV isn't a threat to anyone, as it
  940. announce itself upon infecting the system.
  941.  
  942. MAC Word Users can visually detect DMV, since infected documents will
  943. appear with the template icon, instead of the usual document icon.
  944.  
  945. The Writer of DMV is rumored to be playing with some EXCEL Viruses, based
  946. on details he published about a virus that would infect MicroSoft EXCEL
  947. Spreadsheet Files. <anyone get the feeling 6 months from now I'll be
  948. writing an EXCEL MACRO Virus FAQ ??? :) >
  949.  
  950. [ DOES ANYONE HAVE THE PUBLISHED PAPER? ]
  951.  
  952.       --------------------------------------------------------------
  953.  
  954. 4.5: HOT:
  955. =========
  956.  
  957. Also known as WORDMACRO HOT, WinWord.Hot.
  958.  
  959. Not the most ingenious of the Macro Virus Family, it's biggest kick, is the
  960. ability to wait or sleep for awhile <up to 14 days> and then delete a file.
  961. WordMacro/Hot appears to be the first Word macro virus written in Russia.
  962. It was found in the wild in Russia in January 1996.
  963.  
  964. Infected documents contain four execute-only macros:
  965.  
  966.         AutoOpen
  967.         DrawBringInFrOut
  968.         InsertPBreak
  969.         ToolsRepaginat.
  970.  
  971. MacIntosh Word Users will notice HOT, by examining the icon of the file...
  972. infected documents appear with the template icon, normal documents appear
  973. with the normal document icon.
  974.  
  975. NOTE: WordMacro/Hot appears to be the first macro virus to use external
  976. functions, allowing Word macros to call any standard Windows API call.
  977. This makes the spreading function Windows 3.x specific, preventing Word for
  978. MAC and Word 7 for Win '95 from spreading the Virus.  An error dialog will
  979. be displayed under Microsoft Word 7.0.
  980.  
  981.         Unable to load specified library
  982.  
  983. HOT activates automatically via it's AutoOpen Macro <assuming no attempt to
  984. disable AutoMacros has been made> adding a line LIKE...
  985.  
  986.         QLHot=34512
  987.  
  988. to Ms Word for Windows 6's WinWord6.INI file, which acts as a counter
  989. recorder system, setting a date 14 days in the future for payload
  990. activation.
  991.  
  992. HOT then copies the included macros to the Global Template, NORMAL.DOT
  993. usually, revising their names...
  994.  
  995.         AutoOpen          ==>   StartOfDoc
  996.         DrawBringInFrOut  ==>   AutoOpen
  997.         InsertPBreak      ==>   InsertPageBreak
  998.         ToolsRepaginat    ==>   FileSave
  999.  
  1000. A listing of the currently loaded macros in this infected environment will
  1001. reveal the names in the right list.  Loading another infected document
  1002. <actually a template> will add the left list to the macro list plus the
  1003. right list.  NOTE:   Macros have been saved with the 'execute-only'
  1004. feature, which means  that a user can't view or edit them.
  1005.  
  1006. A clean <AutoMacros disabled> WORD environment will produce the left list
  1007. when viewing an infected document.
  1008.  
  1009. HOT's FileSave macro cause the virus to randomly decide within 1-6 days
  1010. from the infection date to activate whenever an effort to open files is
  1011. made.  Upon activation, a document will have it's contents deleted, by
  1012. opening it, slecting the entire contents, delting them, and closing the
  1013. document, saving it in it's now empty state.
  1014.  
  1015. Users with c:\DOS\EGA5.CPI should be protected from this macro, as the
  1016. author included a check for this file as a protective measure, noted in the
  1017. source code as follows:
  1018.  
  1019.   '---------------------------------------------------------------
  1020.   '- Main danger section: if TodayNo=(QLHotDateNo + RndDateNo) ---
  1021.   '- and if File C:DOSega5.cpi not exist (not for OUR friends) ---
  1022.   '---------------------------------------------------------------
  1023.  
  1024. HOT's InsertPBreak Macro inserts a page-break in current documents, which
  1025. is used as a sign of a document already being infection by HOT.
  1026.  
  1027. NOTE:  WordMacro/Hot relies on the existence of KERNEL.EXE
  1028.  
  1029. To clean existing in memory infected macros, use the TOOLS/MACROS/DELETE
  1030. function to delete all infected macros.  Do the same for Document you find
  1031. that are infected, by doing so from a session of word with AutoMacros
  1032. Disabled, and using the Tools/Macros/Delete function.
  1033.  
  1034. NOTE: Use of the TOOL/MACRO command can be dangerous.  Some viruses subvert
  1035. this command.  Use with caution.  Use AV software to find and delete
  1036. infected macros.
  1037.  
  1038. SOPHOS SWEEP Users can add detection NOW to their scanner with the line...
  1039.  
  1040.         Winword/Hot   a186 9dad 889d 8ca7 86cd e58e 0369 ec8e ee69 ec8e
  1041.         e868 ecef
  1042.  
  1043. <the above 2 lines are to be entered as one line> by adding the line to
  1044.  SWEEP.PAT, then scanning in FULL MODE <-f>
  1045.  
  1046.       --------------------------------------------------------------
  1047.  
  1048. 4.6: MS WORD 2/MS WORD 6.x MACRO TROJAN WEIDEROFFEN:
  1049. ====================================================
  1050.  
  1051. This is a new MACRO Trojan, <that's been around for 2 years> that goes by
  1052. the alias WinWord.Weideroffnen.  It is technically a WinWord 2 infected
  1053. document, that works eqwually well under MS WORD 6.x.  It intercepts
  1054. AutoClose, and attempts to play tricks with boot-up file AUTOEXEC.BAT.  It
  1055. is rumored to exist in Germany, known locally in Germany as "Weideroffen
  1056. Macro Virus" No other information is available at this time, other than the
  1057. post by Graham Cluley, which states...
  1058.  
  1059.        "Dr Solomon's FindVirus has been detecting this virus for a while (I
  1060.        think we call it WinWord.Weideroffnen).  Our WinGuard VxD can also
  1061.        intercept documents infected with it thus stopping an outbreak dead
  1062.        in its tracks"
  1063.  
  1064. Since it basically goes after AUTOEXEC.BAT, Mac users have nothing to fear
  1065. from this trojan macro.  PC users on the otherhand... :)
  1066.  
  1067. Please have mercy on us Graham <Graham.Cluley@uk.drsolomon.com>, and
  1068. provide some more info... :)
  1069.  
  1070.       --------------------------------------------------------------
  1071.  
  1072. 4.7: AMI PRO 3.0 MACRO VIRUS GREEN STRIPE
  1073. =========================================
  1074.  
  1075. NOTE: THIS IS NOT AN MS WORD MACRO VIRUS!  IT IS INCLUDED IN THIS FAQ FOR
  1076. THE PURPOSE OF HELPING THE PUBLIC.  THIS FAQ IS PRIMARILY WORD MACRO BASED,
  1077. BUT MAY BE ALTERED IN THE FUTURE, IF MACRO VIRUSES APPEAR IN INCREASING
  1078. NUMBERS FOR OTHER MAJOR PROGRAMS, LIKE EXCEL, AMIPRO, ETC.
  1079.  
  1080. Also known as AMIMACRO GREENSTRIPE.  The name of this virus comes from it's
  1081. main macro procedure, called Green_Stripe_virus.
  1082.  
  1083. Quite possibly the first Macro Virus to hit the AMI PRO 3.0 Word Processor,
  1084. GREEN STRIPE, was first reported to Computer Weekly, by those who first
  1085. detected it Reflex Magnetics.  <reported to A.C.V by David Phillips
  1086. (D.Phillips@open.ac.uk) >  Reflex Magnetics is reported to has a program
  1087. able to detect this virus available on their WEB sites by the time you read
  1088. this.
  1089.  
  1090. Ami Pro Macros are somewhat different than their WORD equivalents, as an
  1091. AMI PRO MACRO is a totally separate file, whereas WORD Macro viruses turn
  1092. documents into combination files, part data, part macro.  The Ami Pro
  1093. macros are stored in a separate file, with the SMM extension.  This makes
  1094. it difficult to spread an AMI PRO virus, as it is likely to not get copied
  1095. with the normal document, effectively disabling the virus.
  1096.  
  1097. Ami Pro's File/Save and File/Save As commands are intercepted by Green
  1098. Stripe, and used to infect all documents in comes in contact with.  You
  1099. could say that GREEN STRIP is the first COMPANION MACRO VIRUS, as it
  1100. doesn't even touch the original document.
  1101.  
  1102. NOTE: Using File/Save As and saving an infected document to a network drive
  1103. or a floppy is the only likely way this virus will spread from a machine to
  1104. another.
  1105.  
  1106. When an infected document is loaded, it has a link to an AMI PRO auto-macro
  1107. file of the same name <as the document> but different extension.  This
  1108. macro is then executed, and attempts to open ALL other documents in the
  1109. same directory <to infect them>  This is apparent to the user, as they can
  1110. see this happening on the screen!  It is reported to do a Search and
  1111. Replace on SAVE, searching and replacing all occurances of "Its" with "
  1112. It's".  Reportedly, this fails to work properly.
  1113.  
  1114. GREEN STRIPE was first Published in Mark Ludwigs virus writing newsletter,
  1115. this virus makes itself obvious to the user, since it attempts to infect
  1116. all files found in AMI PRO 3.0 Document Directory, during the initial
  1117. infection process which  takes a long time, and the user is likely to
  1118. notice that something is going on,.
  1119.  
  1120. NOTE: Removal of AMI PRO 3.0 infected macros is simple, just delete the
  1121. macro from the directory.  To see if a Macro has been attached to a
  1122. document, simply open the Tools/Macros/Edit menu and check whether the
  1123. document has a .SMM macro file assigned to be executed on open.  If you
  1124. find one, delete it <unless YOU created a legitimate macro>
  1125.  
  1126. Documents and Macros in AMI PRO are ASCII files, making viewing and
  1127. detection of infected macros easy using any other program other than AMI
  1128. PRO.  This virus is difficult to spread, as the path to the Macro is
  1129. hard-coded, preventing the macro from spreading if programs other than AMI
  1130. PRO are used to move it about.
  1131.  
  1132. Thanks to Vesselin Bontchev <bontchev@complex.is> and Dr David Aubrey-Jones
  1133. <davidj@reflexd.demon.co.uk> for detailing this virus.
  1134.  
  1135.       --------------------------------------------------------------
  1136.  
  1137. 4.8  WORDMACRO ATOM / ATOMIC
  1138. =============================
  1139.  
  1140. This is a new Macro Virus, found in February 1996, which works along the
  1141. same general ideas as the original Concept virus. The WordMacro/Atom virus
  1142. is not known to be in the wild.
  1143.  
  1144. The differences, when compared to the Concept Virus, follows:
  1145.  
  1146.        - All the macros in this virus have been marked EXECUTE ONLY,
  1147.          making them encrypted
  1148.        - Replication occures both during file openings, and file saves.
  1149.        - Atom comes with 2 destructive payloads
  1150.  
  1151. On December 13th, it's first point of activation occures.  It will attempt
  1152. to delete all files in the current file directory.
  1153.  
  1154. The second activation, password protects documents, restricting the users
  1155. access to their own documents.  This happens when the system clock seconds
  1156. counter equals 13, and a File/Save As command is issued.  The passowrd
  1157. assigned to the documents is ATOM#1.
  1158.  
  1159. If the user disables AUTOMACROS, Atom will be unable to execute and spread
  1160. to other documents.  Enabling the Prompt To Save NORMAL.DOT will prevent
  1161. Atom from attacking and infecting the NORMAL.DOT file.
  1162.  
  1163.       --------------------------------------------------------------
  1164.  
  1165. 4.9  FORMATC MACRO TROJAN
  1166. ==========================
  1167.  
  1168. Also known as WORDMACRO.FORMATC, and FORMAT.C.Macro.Trojan
  1169.  
  1170. The FORMATC Macro Virus, isn't ieven a virus, as it DOES NOT SPREAD.  This
  1171. makes it another MACRO TROJAN.  This Trojan contains only one macro,
  1172. AutoOpen, which will be executed automatically when a document is opened.
  1173. The Macro AutoOpen, is READ ONLY, making it encrypted, and unreadable and
  1174. editable.  It is visiable in the Macro List.
  1175.  
  1176. When FORMATC is executed, "triggered", it will  run a dos session, in a
  1177. minimized DOS box.  It will run an Unconditional Format of the C drive.
  1178.  
  1179. NOTE:  Get your hands on some up to date scanners, and pre-screen all
  1180. documents.  Also acquire some AV VxD's, as they should prevent the Trojan
  1181. from wiping your drive clean.
  1182.  
  1183. Thanks to Symantec for providng the info on this trojan.
  1184.  
  1185.       --------------------------------------------------------------
  1186.  
  1187. TOPIC 5:  STRATEGY FOR CLEANING AND PREVENTING WORD MACRO INFECTIONS:
  1188. =====================================================================
  1189.  
  1190. The best Strategy for dealing with this new VIRUS Menace, is to acquire at
  1191. least one, maybe even a couple decent Anti-Virus products.  This is a good
  1192. idea whether you are dealing with classic viruses, or this new MS WORD
  1193. MACRO family of viruses.  If you have some of the popular virus scanners,
  1194. you can add macro virus signature definitions to them from the previous
  1195. sections of this FAQ, or acquire updated copies of your favorite AV
  1196. programs, which should have them built in.
  1197.  
  1198. Some products are now including Windows Mode VxD Virtual On-access
  1199. Scanners, that run co-operatively with Windows. <insert bad joke about
  1200. windows reliability here :) > These VxD's tend to have the same
  1201. capabilities as the classic scanners.  Others that don't yet include VxD's
  1202. are also worth acquiring, as the command-line scanners are some of the best
  1203. in the industry.  Most of the Virus Scanners Listed in the SUGGESTED
  1204. SOFTWARE area of this FAQ will in the worst case detect known MACRO
  1205. Viruses, and at best, clean existing infections, and prevent future
  1206. infections by MACRO viruses.
  1207.  
  1208. The Following AV products now include an option to Scan for Word Macro
  1209. viruses, Including F-PROT, TBAV, AVP, AVTK, SOPHOS SWEEP, McAFEE, and
  1210. others.  Fans of ChekMate will be glad to hear about CkekMate.DOC, part of
  1211. the CHECKMATE 2.00 Generic Anti-Vitus Package, which will detect and
  1212. prevent Macro infections.
  1213.  
  1214. Learning to scan documents as well as program files will now be necessary
  1215. to maintain a clean system environment.  So, keeping these new viruses out
  1216. of your system isn't really any harder than keeping standard viruses out.
  1217. Most of these products are listed in the SUGGESTED SOFTWARE area of this
  1218. FAQ.
  1219.  
  1220. A file, SCAN831.zip, common on various AV FTP Sites on the internet, can
  1221. deal with the WORD.Concept <Prank> virus.  Unzipping it into the Winword
  1222. directory, and opening the included document SCAN831.DOC, will check your
  1223. documents for the presence of Concept.  NOTE: This is only a solution for
  1224. preventing/removing Concept Infections.  Also, Windows '95 users will need
  1225. to dump the contents of their Start Menu document menu, and remove desktop
  1226. shortcuts before using this solution.  NOTE: This `fix' distributed by
  1227. Microsoft isn't complete - there are ways to open documents (like from the
  1228. recently used files list) that don't trigger the protection macros.
  1229.  
  1230. Fans of Symantec can download a free copy of REPAIR.ZIP, which contains
  1231. virus definition files for the macro viruses. You can use REPAIR.ZIP with
  1232. either NAV 95 or NAV 3.0.  NOTE: To detect the MS Word macro viruses, scan
  1233. your hard drive from DOS only; either version of NAV will not detect them
  1234. from within Windows.
  1235.  
  1236. Disinfectant For the MAC, although a great AV product, doesn't generally
  1237. address macro viruses or hypercard infectors. <At least it didn't the last
  1238. time I played with a MAC :) >  Disinfectant does not deal with non-machine
  1239. code viruses, so no update is needed.  Mac users will want to contact some
  1240. of the AV producers listed below, as many of them are now offering MAC AV
  1241. solutions which DO deal with MS WORD MACRO VIRUSES. Some of the Word macro
  1242. viruses will work at least in part on a MAC, Dr Solomon's Anti-Virus
  1243. Toolkit for Macintosh will detect such infections, and will detect PC Boot
  1244. Sector Viruses.  Mac Users will have one advantage fighting and finding
  1245. WORD MACRO VIRUSES, since MAC displays the icon of the data files, users
  1246. will notice that infected documents appear with the template icon, rather
  1247. than the usual document icon.
  1248.  
  1249. A Good Back-Up routine is also a sensible addition to any AV strategy.  No
  1250. AV product is perfect, especially against new and unknown Viruses <unless
  1251. you are ZVI NETIZ, his AV products catch 100% of all viruses, including the
  1252. cold viruses you've suffered with this winter! Unfortunately ZVI's product
  1253. will delete all copies of your SOFIA files :) >
  1254.  
  1255. It is often preferable to replace infected files with clean uninfected
  1256. copies, regardless of format, than to execute a "cleansed" file, that may
  1257. be corrupt, or at least unstable.  This is good advice for standard
  1258. executables.. but MS WORD docs can be cleaned most of the time simply by
  1259. removing the infected macros, and saving the file as a NORMAL Document!
  1260.  
  1261.                     Personal MACRO VIRUSES PREVENTION...
  1262.  
  1263. For those of you who would rather deal with the MACRO problem yourself,
  1264. without using one of the recommended products, there are a few things you
  1265. can do to add an extra measure of security <although it is really a false
  1266. sense of security...>
  1267.  
  1268. Disabling of AutoOpen Macros is possible by invoking the Word system Macro
  1269. DisableAutoMacros.  An once of prevention equals a pound of cure. :) NOTE:
  1270. this can be disabled by some Macro viruses. :(
  1271.  
  1272. The Manual for WORD for Windows says you can also do this from the command
  1273. line, by executing WORD with the following command...
  1274.  
  1275.        WINWORD.EXE /mDisableAutoMacros
  1276.  
  1277. However, due to a Flaw, Feature, or Bug <Gotta Love MS> this doesn't appear
  1278. to work!  Thanks MS! :(
  1279.  
  1280. The Manual also states that holding <SHIFT> while opening documents will
  1281. prevent any AutoExecute type macros from running, but this suggestion also
  1282. doesn't appear to work!  Thanks Again MS! :(
  1283.  
  1284. Or better yet, you could create your own AutoExec Macro, it isn't hard,
  1285. simply select the TOOLS Menu, hit the MACRO command, and create a new macro
  1286. call "AutoExec".  Alter line 3 as you see fit...
  1287.  
  1288.        Sub Main
  1289.          DisableAutoMacros
  1290.          MsgBox "MS WORD AutoMacros Disabled.", "Some Protection!", 64
  1291.        End Sub
  1292.  
  1293. or...
  1294.  
  1295.        Sub Main
  1296.          DisableAutoMacros
  1297.          MsgBox "MS WORD AutoMacros Disabled!", 0
  1298.        End Sub
  1299.  
  1300. The second macro should display the message in the status line. <I hope>
  1301. :)
  1302.  
  1303. NOTE: Use of the TOOL/MACRO command can be dangerous.  Some viruses subvert
  1304. this command.  Use with caution.  Use AV software to find and delete
  1305. infected macros.
  1306.  
  1307. This method will effectively prevent CONCEPT, HOT, DMV, and NUCLEAR word
  1308. macro viruses from infecting the WORD environment, by fooling these 3
  1309. viruses into thinking they've already infected your system.  It also
  1310. Disables AutoMacros, which will help with some Macro infectors.  This is a
  1311. temporary fix, as WORD gives priority to macros in documents over system
  1312. macros.  <MS will need to ship an update to WORD for all platforms that
  1313. will give control back to the users.  Can you all say WORD '99? >
  1314.  
  1315. All legitimate owners of copies of MS WORD should CALL MICROSOFT Support
  1316. staff, and let them know you want an updated copy WORD.  Let them know you
  1317. want the BUGS FIXED.  It's your right!  Call Microsoft Product Support
  1318. Services at 206-462-9673 for Word for Windows, or send an Internet e-mail
  1319. message to wordinfo@microsoft.com <wonder if we could cause a class action
  1320. suit....>
  1321.  
  1322. Another option is to check the TOOLS/OPTION Menu and set it to prompt
  1323. before saving NORMAL.DOT.  Setting the File Attributes of the file to
  1324. read-only may help, but anyone going to the effort of writing a Macro Virus
  1325. can easily disable that attribute. <and if you've read this FAQ, you also
  1326. know that some macro viruses can enable AutoMacros even if you specifically
  1327. disable them! :( >
  1328.  
  1329. NOTE: Use of the TOOL/MACRO command can be dangerous.  Some viruses subvert
  1330. this command.  Use with caution.  Use AV software to find and delete
  1331. infected macros.
  1332.  
  1333. AMI PRO 3.0 Users, who want to clean their system of infected AMI PRO 3.0
  1334. GREEN STRIPE MACROS, need only look in their document directory, and delete
  1335. and infected macros <which will have the same names as documents>  Note:
  1336. detection of GREEN STRIPE infection is easy, view all macros with a NON-AMI
  1337. PRO viewer, like DOS edit.  Find infected macros, and delete them.  that's
  1338. it!.
  1339.  
  1340.               SOFTWARE ALTERNATIVES TO USING WINWORD.EXE...
  1341.  
  1342. At the time of this writing, it was mentioned to me that MicroSoft had
  1343. released a WORD Document Viewer, that does not execute Macros, that could
  1344. be used in place of WORD for the purpose of viewing Documents while
  1345. on-line.  MSN or it's affiliated BBS services should have the file
  1346. available for download.  Also, a number of Shareware and Freeware shells
  1347. can directly view WORD documents, without executing macros.  Eric Phelps
  1348. has noted that an updated version of the WordViewer is now available.  The
  1349. new WordView 7.1 free viewing utility from Microsoft now runs some Word
  1350. macros!!   If you want to view documents without the abiltiy to run macros,
  1351. then stick to versions of WordView previous to version 7.1
  1352.  
  1353. Users of NETSCAPE 2 who fear virus infection by macro viruses while onl the
  1354. WWW, can now acquire Inso's new Word Plug-In Viewer (Inso wrote the Quick
  1355. View utility in Win95).  Inso's URL is:
  1356.  
  1357.         http://www.inso.com/
  1358.  
  1359. and there is a link to download the Word Plug-In Viewer on the opening
  1360. page.
  1361.  
  1362. If you need additional information, call Microsoft Product Support Services
  1363. at 206-462-9673 for Word for Windows, or 206-635-7200 for Word for the
  1364. Macintosh, or send an Internet e-mail message to wordinfo@microsoft.com
  1365.  
  1366.       --------------------------------------------------------------
  1367.  
  1368. TOPIC 6: SUGGESTED SOFTWARE:
  1369. ============================
  1370.  
  1371.    PRODUCTS THAT CAN DETECT/CLEAN WINWORD VIRUSES INFECTIONS IN DOCUMENTS
  1372.  
  1373. MICROSOFT
  1374.        Available on MicroSoft Download Services...
  1375.        WD1215.EXE   51078      10-10-95        WD1215.EXE Macro Virus
  1376.                                                Protection Tool
  1377.        MW1222.HQX   83729      11-09-95        MW1222.HQX Macro Virus
  1378.                                                Protection Tool for
  1379.                                                Mac Word 6.0
  1380.        SCANPROT.EXE 29996      01-02-96        SCANPROT.EXE Word pour
  1381.                                                Windows, "Prank Macro"
  1382.                                                Protection Template (for
  1383.                                                french Word)
  1384.  
  1385.        Available at WWW.MICROSOFT.COM or WWW.MSN.COM...
  1386.        A self-extracting archive, MVTOOL10.EXE, being distributed by
  1387.        Microsoft.  It is an way to protect yourself against the Concept
  1388.        virus, as well as to warn you against document files that contain
  1389.        macros without your knowledge.  It will create these files:
  1390.                README.DOC      36864  10-02-95  1:08p
  1391.                SCANPROT.DOT    49152  10-02-95  3:44p
  1392.        Enter Word and read the README.DOC to see if this package is
  1393.        suitable for your environment.
  1394.  
  1395.                        ============================
  1396.  
  1397. DR SOLOMON'S ANTI-VIRUS TOOLKIT
  1398.        -FindVirus can Detect & Clean Macro Viruses, scanning recursively
  1399.         inside compressed and archived files (ZIP, LZH, ARJ, ARC, etc)
  1400.         without writing to the hard disk. WinGuard  VxD on-access
  1401.         scanner can prevent future infections. (available for DOS, Win 3.x,
  1402.         Win 95, Win NT, OS/2, Novell NetWare, Unix, and soon Apple Mac)
  1403.                Web: http://www.drsolomon.com
  1404.                USA Tel: +1 617-273-7400
  1405.                CompuServe:     GO DRSOLOMON
  1406.                UK Support:     support@uk.drsolomon.com
  1407.                UK Tel:         +44 (0)1296 318700
  1408.                US Support:     support@us.drsolomon.com
  1409.                USA Tel:        +1 617-273-7400
  1410.  
  1411.                Canadian Representative:
  1412.                SSS-Sensible Security Solutions Inc.
  1413.                Tel. 613-623-6966
  1414.                Fax. 613-623-3992
  1415.                e-mail: secure-1@magi.com
  1416.                * Editors of 'Virus News' and on-line Security Alerts
  1417.  
  1418.                        ============================
  1419.  
  1420. AVP & AVPLITE
  1421.        -Detects & Cleans Macro Viruses Infections.
  1422.                USA: Central Command Inc. <AVP>
  1423.                P.O. Box 856 Brunswick, Ohio 44212
  1424.                Phone: 216-273-2820
  1425.                FAX  : 216-273-2820
  1426.                Support: support@command-hq.com
  1427.                Sales: sales@command-hq.com
  1428.                FTP: ftp.command-hq.com  /pub/command/avp
  1429.                WWW: http://www.command-hq.com/command
  1430.                                [not operational yet]
  1431.                Compuserve: GO AVPRO
  1432.  
  1433.                        ============================
  1434.  
  1435. F-PROT
  1436.        -Currently Only Detects Known WINWORD Macro Viruses, Cannot
  1437.         clean in Macro infections.  Macro Virus Clean will be added
  1438.         shortly.
  1439.                Frisk Software International
  1440.                Postholf 7180
  1441.                IS-127 Reykjavik
  1442.                Iceland
  1443.                Fax: +354-5617274
  1444.                Email: sales@complex.is
  1445.  
  1446.                [North America, South America, Australia and New Zealand]
  1447.                Command Software Systems Inc.
  1448.                Tel: +1-407-575 3200
  1449.                Fax: +1-407-575 3026
  1450.  
  1451.                [Canada]
  1452.                DOLFIN Developments
  1453.                Tel: +1-905-829-4344
  1454.                Fax: +1-905-829-4380
  1455.  
  1456.                [Most of Europe, Africa, Middle and Far East:]
  1457.                Data Fellows Ltd
  1458.                Paivantaite 8
  1459.                FIN-02210 ESPOO
  1460.                FINLAND
  1461.                Tel: +358-0-478 444
  1462.                Fax: +358-0-478 44 599
  1463.                E-mail: F-PROT@DataFellows.com
  1464.                WWW: http://www.DataFellows.com/
  1465.  
  1466.                        ============================
  1467.  
  1468. VIRUSCAN
  1469.        -Currently Only Detects Macro Viruses, but will soon add it's
  1470.         own internal Cleaners to the software.  In the meantime, McAfee
  1471.         included MicroSoft's MVTOOL10.EXE WinWord.Concept Cleaner with
  1472.         their product.
  1473.                McAfee
  1474.                2710 Walsh Avenue
  1475.                Santa Clara, California
  1476.                95051-0963 USA
  1477.                For questions, orders and problems call
  1478.                (M-F, 6:00AM - 5:00PM PST): (408) 988-3832  Business
  1479.                For Faxes (24 hour, Group III FAX): (408) 970-9727  FAX
  1480.                Bulletin Board System
  1481.                (24 hour US Robotics HST DS):  (408) 988-4004
  1482.                Internet Email:  support@mcafee.com
  1483.                Internet FTP:  ftp.mcafee.com
  1484.                WWW:  http://www.mcafee.com
  1485.                America On-line:  MCAFEE
  1486.                CompuServe:  GO MCAFEE
  1487.                The Microsoft Network:  GO MCAFEE
  1488.  
  1489.                        ============================
  1490.  
  1491. THUNDERBYTE
  1492.        -Detects Currently Existing Word Macro Viruses
  1493.                ThunderBYTE International Affiliates
  1494.                ESaSS B.V.-ThunderBYTE International
  1495.                P.O. Box 1380
  1496.                6501 BJ Nijmegen
  1497.                The Netherlands
  1498.                Phone: +31 (0)8894 - 22282
  1499.                Fax:   +31 (0)8894 - 50899
  1500.  
  1501.                TCT-ThunderBYTE Corporation
  1502.                49 Main St., Suite 300
  1503.                Massena, N.Y. 13662
  1504.                USA
  1505.                Toll-Free: 1-800-667-8228
  1506.                Phone:     (315) 764 1616
  1507.                Fax:       (613) 936 8429
  1508.  
  1509.                TCT-ThunderBYTE Inc.
  1510.                3304 Second St. E., P.O. Box 672
  1511.                Cornwall, Ont. K6H 5T5
  1512.                Canada
  1513.                Toll-Free: 1-800-667-TBAV
  1514.                Phone:     (613) - 930 4444
  1515.                Fax:       (613) - 936 8429
  1516.  
  1517.                        ============================
  1518.  
  1519. INTEGRITY MASTER
  1520.        -Detection of Macro Viruses + Integrity Checking in one package
  1521.                Stiller Research
  1522.                2625 Ridgeway St.
  1523.                Tallahassee, FL. 32310-5169
  1524.                U.S.A.
  1525.                Email: 72571.3352@compuserve.com
  1526.                PHSH44A on Prodigy.
  1527.                Stiller on GEnie
  1528.  
  1529.                        ============================
  1530.  
  1531. CHEKMATE (2.0)
  1532.        -Generic Virus Detection Utility + ChekResQ utility that can remove
  1533.         boot sector and partition table viruses both from memory and your
  1534.         hard disk. ChekMate, using Generic Techniques avoids the major
  1535.         problem of false alarms.  <MS or PC-DOS 3.3 or later, Windows 3.0,
  1536.         3.1. 3.11. Workgroups, Windows '95, and Windows NT, as well as OS/2
  1537.         2.0, 2.1 and Warp> NOTE: Requires DEBUG.EXE.  Package Includes
  1538.         CHEKWORD.DOC, Macros in the GLOBAL template (normally NORMAL.DOT)
  1539.         are checked and the user is informed of the number(s), name(s) and
  1540.         desriptions of macros in this template.  For your protection, the
  1541.         AutoExec and AutoOpen macros are also disabled
  1542.         automatically.  Chekword.Doc also scans documents you open.
  1543.             Martin Overton (ChekWARE),
  1544.             8 Owl Beech Place,
  1545.             Horsham,
  1546.             West Sussex, RH13 6PQ,
  1547.             ENGLAND.
  1548.                 FTP at:
  1549.                         ftp.coast.net/SimTel/msdos/virus/cm200.zip
  1550.                         ftp.demon.co.uk/pub/simtel/msdos/virus/cm200.zip
  1551.                         ftp.demon.co.uk/antivirus/ibmpc/av-progs/cm200.zip
  1552.                 ftp.gate.net/pub/users/ris1/cm200.zip
  1553.  
  1554.                 At the World-Wide Web site:
  1555.                         http://www.valleynet.com/~joe/avdos.html
  1556.                 Email: chekmate@salig.demon.co.uk
  1557.  
  1558.                        ============================
  1559.  
  1560. Simtel, the Software Depository, is a great source for Anti-Virus software!
  1561. Many AV producers posts updated versions of their software regularly to
  1562. SIMTEL.  SIMTEL is a free service, which you can access via Internet.
  1563.  
  1564. The following list will allow anyone with Internet access to freely access
  1565. and obtain Most AV shareware/freeware.  For those of you who cannot FTP to
  1566. a Simtel site, do a search for "SIMTEL" with a decent search engine like
  1567. YAHOO or WEB CRAWLER, and you'll see SIMTEL listed.
  1568.  
  1569. SimTel's primary mirror site is ftp.Coast.NET (205.137.48.28) located in
  1570. Detroit, Michigan, and there the programs may be found in the directory
  1571. /SimTel/msdos/virus.
  1572.  
  1573. Secondary SimTel mirror sites in the US include:
  1574.  
  1575.        Concord, CA        ftp.cdrom.com          192.216.191.11
  1576.        Urbana, IL         uiarchive.cso.uiuc.edu 128.174.5.14
  1577.        Rochester, MI      OAK.Oakland.Edu        141.210.10.117
  1578.        St. Louis, MO      wuarchive.wustl.edu    128.252.135.4
  1579.        Norman, OK         ftp.uoknor.edu         129.15.2.20
  1580.        Corvallis, OR      ftp.orst.edu           128.193.4.2
  1581.        Salt Lake City, UT ftp.pht.com            198.60.59.5
  1582.  
  1583. Users outside the US should in general select the "closest" mirror site
  1584. from the list below:
  1585.  
  1586.        Australia          archie.au              139.130.23.2
  1587.        Brazil             ftp.unicamp.br         143.106.10.54
  1588.        China              ftp.pku.edu.cn         162.105.129.30
  1589.        Czech Republic     pub.vse.cz             146.102.16.9
  1590.        England            micros.hensa.ac.uk     194.80.32.51
  1591.                           src.doc.ic.ac.uk       155.198.1.40
  1592.                           ftp.demon.co.uk        158.152.1.44
  1593.        France             ftp.ibp.fr             132.227.60.2
  1594.        Germany            ftp.ruhr-uni-bochum.de 134.147.32.42
  1595.                           ftp.tu-chemnitz.de     134.109.2.13
  1596.                           ftp.uni-mainz.de       134.93.8.129
  1597.                           ftp.uni-paderborn.de   131.234.10.42
  1598.                           ftp.uni-tuebingen.de   134.2.2.60
  1599.        Hong Kong          ftp.cs.cuhk.hk         137.189.4.110
  1600.                           hkstar.com             202.82.0.48
  1601.        Israel             ftp.technion.ac.il     132.68.7.8
  1602.        Italy              cnuce-arch.cnr.it      131.114.1.10
  1603.        Japan              ftp.saitama-u.ac.jp    133.38.200.1
  1604.                           ftp.riken.go.jp        134.160.41.2
  1605.        Korea              ftp.kornet.nm.kr       168.126.63.7
  1606.                           ftp.nuri.net           203.255.112.4
  1607.        Netherlands        ftp.nic.surfnet.nl     192.87.46.3
  1608.        New Zealand        ftp.vuw.ac.nz          130.195.2.193
  1609.        Poland             ftp.cyf-kr.edu.pl      149.156.1.8
  1610.                           ftp.icm.edu.pl         148.81.209.3
  1611.        Portugal           ftp.ua.pt              193.136.80.6
  1612.        South Africa       ftp.sun.ac.za          146.232.212.21
  1613.        Slovak Republic    ftp.uakom.sk           192.108.131.12
  1614.        Slovenia           ftp.arnes.si           193.2.1.72
  1615.        Sweden             ftp.sunet.se           130.238.127.3
  1616.        Switzerland        ftp.switch.ch          130.59.1.40
  1617.        Taiwan             nctuccca.edu.tw        140.111.1.10
  1618.        Thailand           ftp.nectec.or.th       192.150.251.33
  1619.        Turkey             ftp.metu.edu.tr        144.122.1.101
  1620.  
  1621.       --------------------------------------------------------------
  1622.  
  1623. TOPIC 7: CREDITS & THANKS:
  1624. ==========================
  1625.  
  1626. I would like to extend my appreciation and thanks to all those who provided
  1627. info to me on this matter.  Most of the Anti-Virus producers were extremely
  1628. helpful in the production of this much needed FAQ for ALT.COMP.VIRUS.
  1629. Special Thanks goes to Bruce Burrell <bpb@us.itd.umich.edu> for reminding
  1630. me to DOT my "i"'s and cross my "t"'s.
  1631.  
  1632.                              ACKNOWLEDGMENTS
  1633.  
  1634. I would like to thank the following individuals who have helped and
  1635. contributed to this document:
  1636.  
  1637. Graham Cluley <gcluley@uk.drsolomon.com>, Senior Technology Consultant, Dr
  1638. Solomon's Anti-Virus Toolkit.
  1639.  
  1640. Dr Alan Solomon <drsolly@ibmpcug.co.uk, drsolly@chartridge.win-uk.net>,
  1641. Chief Designer of Dr Solomon's Anti Virus Toolkit, S&S International.
  1642.  
  1643. Vesselin Vladimirov Bontchev <bontchev@complex.is>, FRISK Software
  1644. International.
  1645.  
  1646. Wolfgang Stiller <72571.3352@compuserve.com>, Stiller Research
  1647.  
  1648. Keith A. Peer <keith@command-hq.com>, Central Command Inc. <AVP>
  1649.  
  1650. Sarah Gordon, <sgordon@commandcom.com>, Command Software System's F-PROT
  1651. Professional Support.
  1652.  
  1653. Paul Kerrigan, <pkerrign@iol.ie>
  1654.  
  1655. Paul Ducklin <duck@sophos.com>, and SOPHOS <www@sophos.com> for providing
  1656. early info and the detection string for this new macro virus.
  1657.  
  1658. David Harley <harley@icrf.icnet.uk>
  1659.  
  1660. David Phillips (D.Phillips@open.ac.uk)
  1661.  
  1662. Dr David Aubrey-Jones <davidj@reflexd.demon.co.uk> of REFLEX MAGNETICS
  1663.  
  1664. Martin Overton <chekmate@salig.demon.co.uk> and Ed Fenton
  1665. <ris@transit.nyser.net>
  1666.  
  1667.       --------------------------------------------------------------
  1668.  
  1669. TOPIC 8: FAQ DISTRIBUTION INFORMATION:
  1670. ======================================
  1671.  
  1672. Any distribution of this FAQ is subject to the following restrictions:
  1673.  
  1674. This FAQ may be posted to any USENET newsgroup, on-line service, or BBS as
  1675. long as it is posted in its entirety and includes this copyright statement.
  1676. This FAQ may not be distributed for financial gain.  This FAQ may be made
  1677. freely available and posted on FTP, WWW, and BBS sites, Newsgroups and
  1678. Networks, as well as included within software packages and AV products, and
  1679. on CD-ROMs containing other FAQ's/shareware/freeware programs, such as the
  1680. SIMTEL and GARBO collection CD-ROMs, as long as this FAQ is always
  1681. distributed complete and without modifications, and proper credits are
  1682. given to the author.
  1683.  
  1684. Mass distribution of this FAQ in magazines, newspapers or books requires
  1685. approval from the author, Richard John Martin.
  1686.  
  1687.        Email Bd326@Torfree.Net for FREE APPROVAL.
  1688.  
  1689. NOTE: I, the AUTHOR, will re-post copies of this FAQ to ALT.COMP.VIRUS
  1690. every one-two weeks.  <or more frequently when the need arises>
  1691.  
  1692. Anyone with additional info, critiques, suggestions, etc. to add to this
  1693. FAQ, please send it to Bd326@Torfree.Net
  1694.  
  1695. Copyright (c) 1995-1996 by Richard John Martin, all rights reserved.
  1696.  
  1697.       --------------------------------------------------------------
  1698.  
  1699. TOPIC 9: WHERE CAN I OBTAIN UPDATED COPIES OF THIS FAQ?
  1700. =======================================================
  1701.  
  1702. ChekMate <ChekWare Software> will usually have the most up-to-date copy of
  1703. this faq on their Internet Site. <Thanks Guys>  You can find it at...
  1704.  
  1705.        ftp.gate.net/pub/users/ris1/word.faq
  1706.  
  1707. or try our own HIGH SPEED DEMONZ WWW homepage.  You will find updated
  1708. copies of this FAQ at...
  1709.  
  1710.        http://learn.senecac.on.ca/~jeashe/hsdemonz.htm
  1711.  
  1712. as well as other many popular AV sites.  Keep an eye on the Page, as new
  1713. things will shortly be added, plus an HTML version of the FAQ is being
  1714. prepared.
  1715.  
  1716. With any luck, things will return to normal around here.  Updated copies of
  1717. the FAQ should resume it's former schedule of updates once every 2 weeks.
  1718.  
  1719. An Updated copy of this FAQ can also be obtained by sending Email to
  1720. Bd326@TorFree.Net, with a SUBJECT header of "PLEASE SEND FAQ", which will
  1721. result in a return email message that will include an updated copy of this
  1722. FAQ.  To be added to an experimental MAILING LIST for updates of this faq,
  1723. send EMAIL with the SUBJECT header "ADD TO MAIL LIST".  The MAILING LIST
  1724. may be cancelled at anytime.
  1725.  
  1726. You can also remove yourself from the list, by sending an email with the
  1727. SUBJECT header: "REMOVE FROM FAQ MAIL LIST"
  1728.  
  1729. For those of you who live in Toronto, Ontario, Canada, or don't mind a
  1730. call up here to the Great White North, set your modem to 8n1, and call:
  1731.  
  1732.         VIRUS WATCH BBS         (416)654-3814
  1733.  
  1734. Simply do a search on the BBS for MACRO and you see updated copies of
  1735. the FAQ listed.  The file will be an ASCII text file, with the name format
  1736. of
  1737.         WORDMACR.xxx
  1738.  
  1739. The xxx will refer to the month.  This particular edition is WORDMACR.MAR
  1740.  
  1741. I'm still looking for BBS's to ARCHIVE this FAQ, so if anyone would like to
  1742. ARCHIVE it on their BBS, please let me know.
  1743.  
  1744.       --------------------------------------------------------------
  1745.  
  1746. TOPIC 10:  QUESTIONS THAT STILL NEED TO BE ANSWERED...
  1747. ======================================================
  1748.  
  1749. Any help with the following questions would be appreciated.
  1750.  
  1751. 1:        [ HOW MANY DIFFERENT VERSIONS OF MS WORD HAVE BEEN RELEASED ON
  1752.           POPULAR PLATFORMS? ]
  1753.  
  1754. 2:        [ HOW MANY DIFFERENT NATIONALIZED VERSIONS OF MS WORD HAVE BEEN
  1755.           RELEASED? WHICH LANGUAGES? ]
  1756.  
  1757. 2.1:      [ HOW MANY DIFFERENT NATIONALIZED VERSIONS OF MS WORD FOR MAC
  1758.           HAVE BEEN RELEASED? WHICH LANGUAGES? ]
  1759.  
  1760. 3:        [ WHAT ARE THE NAMES OF MACROS EQUIVALENT TO AUTOOPEN, AUTOCLOSE,
  1761.           FILESAVEAS, etc. IN THE NATIONALIZED VERSIONS OF MS WORD? ]
  1762.  
  1763. 4:        [ DOES MS WORD FOR DOS EXIST? IF SO, WHICH VERSIONS HAVE BEEN
  1764.           RELEASED? ]
  1765.  
  1766. 4.1:      [ DOES IT HAVE A COMPATIBLE MACRO LANGUAGE? ]
  1767.  
  1768. 5:        [ GENERAL INFO ON MAC WORD INTERFACE, MENUS, MACRO, ETC.??? ]
  1769.  
  1770. 6:        [ ANY NEW INFO TO ADD? ]
  1771.  
  1772. 7:        [ LIST ANY PROGRAMS YOU KNOW THAT CAN VIEW WORD 6.x or 7.x
  1773.           DOCUMENTS??? ]
  1774.  
  1775. 8:        [ HOW TO DISABLE AUTOMACROS OR MACROS IN GENERAL UNDER WORD FOR
  1776.           MAC? ]
  1777.  
  1778. 9:        [ IS THE ATARI ST CAPABLE OF RUNNING DOS, WINDOWS, and WORD FOR
  1779.           WINDOWS? ]
  1780.  
  1781. 10:       [ DOS THE AMIGA HAVE A NATIVE MS WORD? ]
  1782.  
  1783. 11:       [ DOES WINDOWS OLE and DDE ALLOW FOR THE POSSIBILITIES OF
  1784.           INFECTING OTHER FILE FORMATS?  ]
  1785.  
  1786. 12:       [ DOES ANYONE HAVE INFO ON THE "HOT" & "WEIDEROFFEN" VIRUSES? ]
  1787.  
  1788. Anyone with additional info, critiques, suggestions, etc. to add to this
  1789. FAQ, please send it to Bd326@Torfree.Net
  1790.  
  1791.       --------------------------------------------------------------
  1792.  
  1793. TOPIC 11: DISCLAIMER
  1794. ====================
  1795.  
  1796. This article is provided as is without any express or implied warranties.
  1797. While every effort has been taken to ensure the accuracy of the information
  1798. contained in this article, the author assume(s) no responsibility for
  1799. errors or omissions, or for damages resulting from the use of the
  1800. information contained herein.
  1801.  
  1802.       --------------------------------------------------------------
  1803.  
  1804.       This FAQ is Copyright (c) 1996 Richard John Martin, HIGH SPEED
  1805.       DEMONZ Anti-Virus Research Labs, Canada.  All rights reserved.
  1806.  
  1807.     MicroSoft (tm), MicroSoft Windows, MicroSoft Word, MicroSoft EXCEL
  1808.      are Copyright (c) 1995-96 MicroSoft Corp.  All rights reserved.
  1809.  
  1810.       --------------------------------------------------------------
  1811.  
  1812. --
  1813.