home *** CD-ROM | disk | FTP | other *** search

---

/ CD ROM Paradise Collection 4 / CD ROM Paradise Collection 4 1995 Nov.iso / win / avpww102.zip / AVPWW102.TXT

< prev

next >

Wrap

Text File  |  1995-09-13  |  12KB  |  337 lines

---

1.  
2.  AntiViral Toolkit Pro for Microsoft Word (AVPWW)
3.  ------------------------------------------------
4.                   version 1.02
5.  
6. This package contains the anti-virus utility for two known viruses infected
7. the Microsoft Word documents. This package is FREEWARE.
8.  
9. To check your Microsoft Word for the viruses you should load Microsoft Word 
10. and open the AVPWW102.DOC file. If your Word is already infected AVPWW 
11. displays the warning message. To install AVPWW "memory resident" you should 
12. press "Install" button while reading AVPWW102.DOC file.
13.  
14. See AVPWW102.DOC for more details.
15.  
16. To find out all the infected files you should use anti-virus database 
17. WINWORD.AVB and AVP for DOS anti-virus scanner. You should run it in 
18. "Redundant" mode (see AVP for DOS "Setup" menu). Then you should load all 
19. infected document into Word with installed AVPWW utility. AVPWW does 
20. automatically disinfection being installed.
21.  
22.  
23.  The contents of package
24.  -----------------------
25.  
26. There are the files:
27.  
28.  AVPWW102.TXT - this file
29.  AVPWW102.DOC - anti-virus utility AVPWW ver. 1.02
30.  WINWORD.AVB  - anti-virus database for AVP for DOS scanner
31.  FILE_ID_DIZ  - ID file
32.  
33.  
34.  The viruses infect Microsoft Word documents
35.  -------------------------------------------
36.  
37. 1995 year brings new type of the viruses - Microsoft Word documents 
38. infectors. These viruses hit (not overwrite!) the DOC-files of the 
39. Microsoft Word ver.6 format. 
40.  
41. The system gets infection while READING the infected file. To infect the 
42. computer is it necessary only to run Microsoft Word ver.6 and open the 
43. infected file. Then the virus spreads into all the newly created DOC files.  
44. After sending the newly created and infected file to another (clear) 
45. computer that file can infect that computer too (while opening in Microsoft 
46. Word).
47.  
48. These viruses are VERY FAST infectors. The DOC files are sent/received more 
49. often than executable ones.
50.  
51. These viruses can hit the Microsoft Word files on any computer, not only 
52. IBM-PC. The viruses work very well under Microsoft Word7 and Microsoft 
53. Word6 for NT.
54.  
55.  
56. While opening the Word Document file the Word executes the internal file 
57. macros. It that document is infected, Word executes *infected* macros, i.e.  
58. the virus code. The virus copies the macros into the Global Macros area, 
59. defines FileSaveAs macro, and then it copies its macros into all the newly 
60. created documents (i.e. documents are saves with "Save as" command). The 
61. virus also converts the MicrosoftDocument files into Template format while 
62. saving.
63.  
64. On exiting from Word the Global Macros are automatically saved into system 
65. DOT-files (NORMAL.DOT or other). So on next Word execution the virus 
66. receives control before reading of the first document, it infects the 
67. environment while loading the Global Macros from DOT file.
68.  
69.  
70.  WinWord.Concept virus (aka WW6Macro)
71.  ------------------------------------
72.  
73. Fortunately, that virus does not call any dangerous trigger routine, the
74. place for that routine contains only the string:
75.  
76.  That's enough to prove my point
77.  
78. But it is not clear up to now is that virus free of another "deep" effects 
79. (i.e. is that virus 100% compatible with Word or not). 
80.  
81. The infected files contains the strings:
82.  
83.  see if we're already installed
84.  iWW6IInstance
85.  AAAZFS
86.  AAAZAO
87.  That's enough to prove my point
88.  
89. and other.
90.  
91. The WINWORD6.INI on infected system contains the file:
92.  
93.  WW6I= 1
94.  
95. On the first execution of the virus code (i.e. on the first opening of the
96. infected file) the MessageBox with digit "1" appears.
97.  
98.  
99.  WinWord.Nuclear virus
100.  ---------------------
101.  
102. The WinWord.Nuclear virus infects the Microsoft Word documents as well as 
103. COM, EXE and NewEXE (Windows) files.
104.  
105. The virus in documents is the encrypted macros. It can drop the 
106. COM/EXE/NewEXE virus.
107.  
108. Being dropped COM/EXE/NewEXE virus stays memory resident and hit executable 
109. files, but it cannot hit Microsoft Word documents.
110.  
111. That virus contains the macros:
112.  
113.  AutoExec, AutoOpen, FileSaveAs, FilePrint, FilePrintDefault,
114.  InsertPayload, Payload, DropSuriv, FileExit
115.  
116. While installation these macros are copied into Global Macros area.
117.  
118. All these macros call to "DropSuriv" macro which check the system time and 
119. drops the COM/EXE/NewEXE virus if the time is in 17:00 / 18:00. While 
120. dropping the virus uses DEBUG utility.
121.  
122. First, the virus checks the C:\DOS\DEBUG.EXE. If there is such one the 
123. virus creates temporary file PH33R.SCR in C:\DOS directory, and writes hex 
124. dump of COM/EXE/NewEXE virus and DEBUG commands into there. Then the virus 
125. creates the temporary file EXEC_PH.BAT with the strings inside:
126.  
127.  @echo off
128.  debug < ph33r.scr > nul
129.  
130. and executes that. As the result DEBUG utility creates the copy of 
131. COM/EXE/NewEXE virus (in the memory) and executes it. That virus hooks INT 
132. 21h and writes itself at the end of COM/EXE/NewEXE files while opening, 
133. execution, renaming and changing their attributes.
134.  
135. The execution of BAT-file is doing in background, so the user does not know 
136. that there are two(!) viruses on his PC.
137.  
138. Them the virus deletes the temporary PH33R.SCR and EXEC_PH.BAT files.
139.  
140.  
141. While printing of documents the virus appends the text approximately to 
142. each 12th file (if the seconds are 55 or more):
143.  
144.  And finally I would like to say:
145.  STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC!
146.  
147. These strings are appended to the document immediately before printing, so 
148. the uses does not see them (often documents occupy more that one screen). 
149. This is very curios effect, especially while sending documents via fax.
150.  
151.  
152. On 5th of April the virus erases IO.SYS and COMMAND.COM files.
153.  
154.  
155. There are text strings in COM/EXE/NewEXE part of that virus:
156.  
157.  =Ph33r=
158.  Qark/VLAD
159.  
160.  
161.  
162.  New AVP Shareware Releases / Updates
163.  ------------------------------------
164.  
165. Information about new releases/updates is available in local conferences:
166.  
167. Internet:    relcom.comp.virus     Russia
168.  
169. FidoNet:     AVP.SUPPORT           Russia
170.              AVP.FR                France
171.  
172. New releases and updates for Antiviral Toolkit Pro (AVP) are available on:
173.  
174.  
175. Anonymous FTP sites:
176.  
177. a) Weekly & Cumulative Updates, Shareware versions:
178.  
179. Server:                        Path:                           Filenames:
180. ===========================================================================
181.  
182. ftp.command-hq.com             /pub/command/avp/               *.*
183. io.com                         /pub/usr/pmonti/avp/            *.*
184. ftp.informatik.uni-hamburg.de  /pub/virus/progs/avp/           *.*
185. sunsite.unc.edu
186.            /pub/docs/security/hamburg-mirror/virus/progs/avp/  *.*
187. ftp.sct.fr            /pub/virus/tools/antivirus/avp/updates/  *.*
188. ftp.sunet.se                   /pub/security/virus/progs/avp/  *.*
189. ftp.uu.net                     /pub/security/virus/progs/avp/  *.*
190. ftp.icomm.rnd.su               /ANTIVIRUS/AVP/                 *.*
191.  
192. b) Cumulative Updates and Shareware versions:
193.  
194. Server:                        Path:                           Filenames:
195. ===========================================================================
196.  
197. SimTel:
198. oak.oakland.edu                /pub/msdos/virus/               avp*.*
199.  
200. SimTel Mirrors:   (a small selection, there are many more)
201. ftp.switch.ch                  /mirror/simtel/msdos/virus/     avp*.*
202. ftp.cyf-kr.edu.pl              /pub/mirror/simtel/msdos/virus/ avp*.*
203. ftp.icm.edu.pl                 /pub/simtel/msdos/virus/        avp*.*
204. micros.hensa.ac.uk             /mirrors/simtel/msdos/virus/    avp*.*
205. ftp.ibp.fr                     /pub/pc/SimTel/msdos/virus/     avp*.*
206. ftp.cs.cuhk.hk                 /pub/simtel/msdos/virus/        avp*.*
207. ftp.sun.ac.za                  /pub/simtel/msdos/virus/        avp*.*
208.  
209. WWW-Sites:
210.  
211. URL:                                 Desc.                         Lang.
212. ==========================================================================
213.  
214. http://www.marktplatz.ch/metro/      AVP-Information / News, etc.  E/D
215. http://www.command-hq.com/command    AVP-Information               E
216. http://www.icomm.rnd.su/icomm/avp/   AVP-Information               R/E
217.  
218.                                          Lang.:  E=English  D=Deutsch (German)
219.                                                  R=Russian
220.  
221. BBSs:
222.  
223.  Switzerland:
224.  Metropolitan Network BBS:
225.  +41 (0)31 348-1331   (2 lines) 2400-33600bps V.34+/V.FC/V.32bis/HST
226.  +41 (0)31 348-0422   (1 line)  2400-28800bps V.34/V.FC/V.32bis/HST
227.  
228.  Russia:
229.  +7 (8632) 69-6931 (8 lines) 2400-14400 V32bis
230.  +7 (095) 278-9949
231.  +7 (095) 932-8465
232.  +7 (092) 223-7354
233.  
234.  
235.  
236.  AVP distributors and technical support sites
237.  --------------------------------------------
238.  
239. Belgium:
240.   bvba DataRescue sprl, 110 route du Condroz, 4121 Neuprê, Belgium
241.   contact     : Dr Pierre Vandevenne
242.   Phone/Fax   : +32-41-729114
243.   BBS/Fax     : +32-41-729110
244.   E-mail      : peterpan@datarescue.knooppunt.be
245.   FIDO        : 2:293/2213
246.  
247. France:
248.   Editions Gerard MANNIG, BP 7, F-76161 DARNETAL CEDEX
249.   contact     : Gerard MANNIG
250.   Phone/FAX   : +33 3559-9344/+33 3559-9344
251.   E-mail      : mannig@world-net.sct.fr
252.   FIDO        : 2:322/2.1
253.  
254. Germany:
255.   Howard Fuhs Elektronik, Computer Virus Research Lab Germany
256.   Rheingaustr. 152 65203 Wiesbaden - Biebrich
257.   Phone       : +49 611 67713
258.   Fax         : +49 611 603789
259.   CompuServe  : 100120,503
260.   Internet    : 100120.503@compuserve.com
261.   FIDO        : 2:244/2120.7
262.  
263.   PROKON software - Theo Christoph, Hauptstrasse 42
264.   07751 Rothenstein - Deutschland
265.   Phone       : +49 36424-56509
266.   Fax         : +49 36424-56511
267.   BBS         : +49 36424-56512  (v.32bis/terbo/V.FC/V.34 - soon available)
268.               : +49 36424-56513  (v.32bis/terbo/V.FC/V.34 - soon available)
269.   E-mail      : prokon@gtc11.gtc.net
270.  
271. Italy:
272.   C.S.I. srl
273.   Mail address: Rome, Aquileia st. n. 7 (Italy)
274.   Phone(s)    : +39-6-8607663, +39-6-5020879
275.   Fax         : +39-6-86321371
276.   E-mail:     : MC3162@mclink.it
277.                 pmonti@io.com
278.   FIDO:       : 2:335/420
279.  
280. Netherlands:
281.   Address     : Roggekamp 416, 2592 VH The Hague, The Netherlands
282.   Contact     : Titia Vlaardingerbroek
283.   Phone       : +31703836044
284.   Fax         : +31703471256
285.   E-mail      : vrch@knoware.nl
286.   FIDO        : 2:281/552
287.   VIRNET      : 9:3110/0
288.   BBS         : +31703857867
289.  
290. Poland:
291.   Address     : VACIMEX Al. Stanow Zjednoczonych 46/24 04-036 Warszawa
292.   Tel/Fax     : +48-22 106246
293.   e-mail      : bored@maloka.waw.pl, vacimex@.maloka.waw.pl
294.  
295. Russia:
296.   KAMI Ltd., Moscow 109052 Nizhegorodskaya st. 29,
297.   Phone       : +7-095-278-9412
298.   Fax         : +7-095-278-2418
299.   E-mail      : eugene@kamis.msk.su
300.   BBS         : +7-095-278-9949
301.   FIDO        : 2:5020/156
302.  
303.  Intercommunications CO, 107/25 Oborony st, 344007, Rostov-na-Donu, Russia
304.  Contact      : Mikhael Monastyrsky, Alexander Ivanov
305.  Phone(s)     : +7 (8632) 62-0562, 63-1360, 64-3088
306.  Fax          : +7 (8632) 63-1360
307.  E-mail       : avp-support@icomm.rnd.su
308.  BBS          : +7 (8632) 69-6931 (8 lines) 2400-14400 V32bis
309.                 or telnet icomm.rnd.su
310.  FTP          : ftp.icomm.rnd.su
311.  WWW          : www.icomm.rnd.su
312.  
313.  call for more AVP distributors in Russia
314.  
315. Switzerland:
316.   Metropolitan Network BBS, AVP, Postfach 827, 3000 Bern 8
317.   Contact     : Gerard VUILLE
318.   Phone(s)    : +41 (0)31 348-1333
319.   Fax         : +41 (0)31 348-1335
320.   E-mail      : avp-support@metro-net.ch
321.   BBS         : +41 (0)31 348-1331    (2400-33600bps V.34/V.FC/HST)
322.   WWW         : http://www.thenet.ch/metro/
323.                 http://www.marktplatz.ch/metro/
324.  
325. USA:
326.   Company     : Central Command Inc.
327.   Address     : P.O. Box 856 Brunswick, Ohio 44212
328.   Phone       : 216-273-2820
329.   FAX         : 216-273-2820
330.   Contact     : Keith A. Peer
331.   E-mail      : keith@command-hq.com
332.   Support     : support@command-hq.com
333.   Sales       : sales@command-hq.com
334.   FTP         : ftp.command-hq.com  /pub/command/avp
335.   WWW         : http://www.command-hq.com/command  [not operational yet]
336.  
337.