home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / MVUPDAT3.ZIP / RAINBOW.ZIP / COLORS.ZIP / COLORS0.TXT next >
Text File  |  1996-04-13  |  3KB  |  55 lines
  1.                         WordMacro/Colors
  2.  
  3.  
  4.  
  5. This macro virus was posted to a usenet newsgroup on the 14th of October,
  6. 1995. It is also known as the Rainbow virus. This macro virus infectes Word
  7. documents in a similar manner as the previous Word macro viruses, except
  8. that it does not rely only on the auto-execute macros to operate. Thus,
  9. this virus will be able to execute even if the automacros are turned off.
  10. Colors contains the following macros:
  11.  
  12. ************************************************************************
  13.         AutoClose                colors7.txt
  14.         AutoExec                 colors3.txt
  15.         AutoOpen                 colors4.txt
  16.         FileExit                 colors5.txt
  17.         FileNew                  colors2.txt
  18.         FileSave                 colors6.txt
  19.         FileSaveAs               colors8.txt
  20.         ToolsMacro               colors9.txt
  21.         macros                   colors1.txt
  22. ************************************************************************
  23. All macros are encrypted with the standard Word execute-only feature.
  24.  
  25. When an infected document is opened, the virus will execute when user:
  26.  
  27.    * Creates a new file
  28.    * Closes the infected file
  29.    * Saves the file (autosave does this automatically after the infected
  30.      document has been open for some time)
  31.    * Lists macros with the Tools/Macro command
  32.  
  33. It is important not to use the Tools/Macro command to check if you are
  34. infected with this virus, as you will just execute the virus while doing
  35. this. Instead, use File/Templates/Organizer/Macros command to detect and
  36. delete the offending macros. Do note that a future macro virus will
  37. probably subvert this command as well.
  38.  
  39. The virus maintains a generation counter in WIN.INI, where a line
  40. "countersu =" in the [windows] part is increased during the execution of
  41. the macros. After every 300rd increments the virus will modify the system
  42. color settings; the colors of different Windows objects will be changed to
  43. random colors after next boot-up. This activation routine will not work
  44. under Microsoft Word for Macintosh.
  45.  
  46. It is interesting to note that the AutoExec macro in the virus is empty. It
  47. is probably included just to overwrite an existing AutoExec macro - which
  48. might contain some antivirus routines. WordMacro/Colors also enables the
  49. automatic execution of automacros if they have been disabled, and turns off
  50. the 'prompt to save changes to NORMAL.DOT' feature, both of which have been
  51. used to fight macro viruses.
  52.  
  53. WordMacro/Colors seems to be carefully written; The virus even has a debug
  54. mode built-in. The virus is probably written in Portugal.
  55.