home *** CD-ROM | disk | FTP | other *** search
/ Professional Soft Collection 1.02 / Professional Soft Collection 1.02.iso / antivir / webwword / drwebvww.eng < prev    next >
Text File  |  1996-01-26  |  6KB  |  135 lines
  1.  
  2.               ATTENTION !!! ATTENTION !!! ATTENTION !!!
  3.  
  4.  WinWord.Concept - A NEW VIRUS DESIGNED TO INFECT WINWORD DOCUMENT FILES
  5.  
  6.                    Copyright (c) Igor Daniloff 1995
  7.  
  8.  
  9.      A virus of new generation, WinWord.Concept, has appeared in July/August
  10. this year.  It is specifically designed for infecting document files of WinWord
  11. 6.0 or 7.0.
  12.  
  13.      It is proliferating at an alarming rate and has been detected in more than
  14. 25 countries: United States, Great Britain, Finland, Germany, Russia, and
  15. elsewhere.  This is not surprising because WinWord has become a de facto
  16. international standard for document preparation and exchange system all over
  17. the world.
  18.  
  19.      The virus infects a system when an infected doc file is opened for
  20. editing.  On opening an infected doc file, WinWord calls the virus macros,
  21. which are written in WordBasic and defined as global macros.  These macros copy
  22. the virus body (virus macros) when an "old document" is saved or when a new
  23. document is saved through the "Save As" command.
  24.  
  25.      On ending a WinWord session, the global virus macros are automatically
  26. saved in DOT file (as a rule, in normal.dot file). At the next start of
  27. WinWord, the global virus macros are automatically loaded anew.
  28.  
  29.      This virus does not exhibit any obvious destructive activities, but side
  30. effects may be observed in certain particular cases; for example, WinWord may
  31. refuse to convert a document. Furthermore, the virus is not operative in
  32. Russianized WinWord.
  33.  
  34.      The virus can be detected as follows.  Open the menu "Tools | Macro |
  35. All Active Templates". If the system is infected, the list of All Active
  36. Templates will contain the macros AAAZAO, AAAZFS, FileSaveAs, and PayLoad.
  37.  
  38.      An infect document file contains the following text strings:
  39.  
  40.               see if we're already installed
  41.               iWW6IInstance
  42.               WW6Infector
  43.               AAAZFS
  44.               AAAZAO
  45.               That's enough to prove my point
  46.  
  47. These text strings can be seen by opening the file by any simple ASCII text
  48. viewer; for example, the viewer of Norton Commander.  A global search for
  49. infected files can be made by TS (Text Search) program of Norton Utilities
  50. through the following command:
  51.  
  52.               TS WW6Infector *.DOC /S /T /A /LOG >c:report.txt
  53.  
  54.      In an infected system, the winword6.ini file contains a line
  55.  
  56.               WW6I= 1
  57.  
  58.      On activated, the virus first adds this line to the WinWord initiation
  59. file. This fact is helpful in safeguarding your system against this virus by
  60. the DialogueScience Anti-virus kit:
  61.  
  62. (1) if Sheriff protection system is installed in your machine, include
  63. winword6.ini in the list of files to be protected by Sheriff to prevent the
  64. virus from being activated, or
  65.  
  66. (2) if ADinf integrity checker is installed in your machine, include
  67. winword6.ini in the list of stable files (along with nc.exe, command.com,
  68. etc.). If ADinf warns against virus-like activities in your system, check
  69. whether the winword6.ini file  contains the line WW6I= 1.
  70.  
  71.      Besides these methods, you can advantageously use a new tool, Dr. Web
  72. Vaccine for WinWord, which I have designed to eradicate the WinWord.Concept
  73. virus. It is not an anti-virus for the DOS environment in the true sense of the
  74. word, but it is designed as a vaccine document for WinWord, using the same
  75. medium and technology as the virus itself.
  76.  
  77.      To "start" the vaccine, open the document drwebvww.doc through WinWord. If
  78. your system is infected, Dr. Web Vaccine will inform that the system is
  79. infected and delete the virus macros from the system.  Then Dr. Web Vaccine
  80. will inquire whether you would like to install the vaccine program in the
  81. system.  Confirm your intention if you wish to safeguard your WinWord.  After
  82. installation, Dr. Web Vaccine will check every winword document for the
  83. WinWord.Concept virus on opening.  If the virus is detected in a document, Dr.
  84. Web Vaccine will warn and seek your permission to remove the virus from the
  85. document.
  86.  
  87.      After installation, there is no need to start Dr. Web Vaccine in
  88. subsequent WinWord sessions; it is automatically loaded by WinWord.  To
  89. deinstall Dr. Web Vaccine, open the document drwebvww.doc once again through
  90. WinWord.  You will be asked to confirm your intention prior to deleting the
  91. vaccine from the system.
  92.  
  93.  
  94.      Below is my PGP key for identifying and verifying Dr.  Web Vaccine for
  95. WinWord with the help of the confirmation signature in the file drwebvww.pgp.
  96.  
  97. -----BEGIN PGP PUBLIC KEY BLOCK-----
  98. Version: 2.6
  99.  
  100. mQCNAi3R1+AAAAEEAMeH97dViOlTOwWjd6iLsRnEvDuNMnfQor+7NtuxV0v7Dgig
  101. Kd4cE8dcSdfINr89mmIcPVCgI+uSDoDdgGK0WAl2pkJUigmJtidMpjFgyPoUTU6T
  102. cqmss4CyDFH9UoM74RUEqSG0cwsnt+rz46yELf+v6kS9QZC3r53C6gEbhxltAAUR
  103. tCFJZ29yIEEuIERhbmlsb2ZmIDxpZEBzYWxkLnNwYi5zdT6JAJUDBRAugG2cOpoV
  104. rn3diFEBAeD3A/9jGJRp5TqD2FBrwkIaJd6SqJVvSbYQnE39th/u4csghFYEYcdS
  105. GqPnVjxl0Sri1N5OqYB2uTRn0d0kqsrD24fuWFbZwvKlcZQO2C6W1zZSmwqAfw2p
  106. jAD+tTvRZDSx2z0+zgRZ/EhDIaH/louf8zcL3UlrW2YPNRODzJW6VUiouIkAlQMF
  107. EC8n2IANOmycNvS2swEBvqYEAJgRxQjfQhJI+iTMMUhWS8whvgitjzDeD+5u2tKz
  108. KwqSa4TaOfgf2000rN2SbqyTg5gDirLsVF8x80PusKFRxedwBzBNLl9ar78HB/x4
  109. lOEO+/obRUH4wT+bH6KfUkDuqVvYsTRZ3mDoLfyJw9pCtkDiFQdCrWcGh+UNr8nJ
  110. oNBx
  111. =kuRk
  112. -----END PGP PUBLIC KEY BLOCK-----
  113.  
  114.  
  115.      The new anti-virus Dr.Web Vaccine for WinWord is distributed by
  116. DialogueScience, Inc. as a freeware.  You can get it from the DialogueScience
  117. BBS general access line, ROSNET network in the open DialogueScience anti-virus
  118. section, Relis server in relis.dials.web groupe, ftp-server of 
  119. ftp.kiam1.rssi.ru, or directly at the DialogueScience Office.
  120.  
  121.      For more information on  Dr. Web anti-virus and Dr.Web Vaccine for
  122. WinWord, call
  123.  
  124.                       DialogueScience, Inc., Moscow, Russia.
  125.                  tel (095) 135-6253, 137-0150, tel/fax 938-2970
  126.                  BBS (095) 938-2856  (14400/V.32bis, 19200/ZyXEL)
  127.                  E-mail: lyu@dials.msk.su
  128.                  FidoNet: 2:5020/69
  129.  
  130.      Igor A. Daniloff, the designer, is available at
  131.  
  132.                                  tel (812) 298-8624 (10.00-18.00)
  133.                          E-mail: id@dials.msk.su , id@sald.spb.su
  134.                             FidoNet:  2:5020/69.14 , 2:5030/87.57
  135.