home *** CD-ROM | disk | FTP | other *** search
/ Collection of Hack-Phreak Scene Programs / cleanhpvac.zip / cleanhpvac / MVUPDAT3.ZIP / MACRO_AV.ZIP / MACRO001.TXT < prev    next >
Text File  |  1995-11-26  |  12KB  |  256 lines
  1. SR News: Macro Viruses
  2.  
  3. Concept is spreading in the wild.
  4.  
  5. Concept (AKA "Prank Macro",WinWord.Concept, and WordMacro.Concept) is a very
  6. recent virus (just discovered in August of 1995) which does some things
  7. that many people thought were impossible.  Concept was been
  8. getting considerable publicity including a recent article in the Wall
  9. Street Journal. This virus has been confirmed to be spreading in the
  10. wild.  (We have had reports from all over the world.)  This virus
  11. spreads via MS Word documents. Even if you don't use MS Word, please
  12. read on; this type of virus is a threat to everyone. I'll explain
  13. exactly how the virus works, how to detect it, and how to remove it
  14. (without using an anti-virus product).
  15.  
  16.  
  17. THE FIRST MULTI-PLATFORM VIRUS?
  18.  
  19. Concept can infect any computer that uses MS Word 6.0 (or later
  20. release).   Since there is also a version of MS Word for Apple Macintosh
  21. computers as well as PCs, this virus will spread to (or from) a
  22. Macintosh if an infected document is exchanged.
  23.  
  24. If you define a "platform" as being a type of computer, then yes,  this
  25. is the first multi-platform virus.  On the other hand, it's important to
  26. recognize this is a VERY limited virus. It will only spread to computers
  27. running MS Word.  Actually it's more limited than that; it will only
  28. spread to computers using English language versions of MS Word 6.0. It
  29. will not spread to German, French, Spanish, or Russian versions of MS
  30. Word.
  31.  
  32.  
  33. A VIRUS THAT BREAKS ALL THE RULES?
  34.  
  35. If you take a quick look at this virus, it seems to break the rules for
  36. viruses. Concept infects MS Word documents.  Simply opening
  37. an infected document causes the virus to infect your PC. I mentioned
  38. previously that viruses infect only executable programs. It seems a
  39. contradiction that a virus could infect documents.  I also stated that to
  40. become infected by a virus you must execute an infected program.  Both
  41. these statements still hold true. To see how this is possible, let's
  42. take a close look at how Concept works.
  43.  
  44.  
  45. THE TRICKS USED BY A NEW VIRUS:
  46.  
  47. Concept was written using the "Macro" capability built into MS
  48. Word. Actually it is somewhat of a misnomer to call this just a macro
  49. capability since it uses a full programming language called Word Basic that
  50. MicroSoft provides with each copy of Word.  The virus was written
  51. in Word Basic.  But MS Word documents can't contain macros so how does
  52. the virus attach itself to documents?  It does this by creating a "template"
  53. rather than a document. Templates are special files supported by MS
  54. word that are used as a pattern for new documents.  Templates, unlike
  55. documents can contain macros.  Concept causes infected
  56. documents to be saved as templates but with the ".DOC" extension
  57. normally associated with documents.  After this happens,
  58. the original document no longer exists as a document but rather as
  59. a template with a ".DOC" extension.  Templates normally have ".DOT"
  60. extensions so the fact that the document has been converted to a template
  61. is not at all obvious.  The virus consists of the macros that are
  62. stored inside of the template.  But what causes the virus macros
  63. to be executed in the first place?
  64.  
  65.  
  66. AUTOMATIC VIRUS EXECUTION:
  67.  
  68. MS Word provides the capability to automatically execute a macro (in
  69. this case a Word Basic program) when you open a new template. The infected
  70. templates contain such an AutoOpen macro; this is how the virus code (in
  71. the form of a Word Basic macro program) is executed when you open an
  72. infected document.
  73.  
  74. This makes the virus very deceptive. Few users of MS Word realize
  75. that every time they open what they think is a document, they
  76. could be executing a viral program.  This exposure is not unique to
  77. MS Word but it is also present in other environments that support macro
  78. languages such as MS Excel, Lotus 1-2-3, and Quatro Pro.
  79.  
  80.  
  81. HOW CONCEPT SPREADS:
  82.  
  83. Concept creates a "FileSaveAs" macro.  This is the code
  84. that executes when you select "File Save As" from the MS Word File
  85. menu.  After opening an infected document, any use of "File Save As"
  86. will result in the document being saved as an infected template with
  87. the standard ".DOC" extension normally associated with documents.
  88. Since documents and templates are handled almost identically by MS
  89. Word, the user is not aware that anything unusual has happened when
  90. document is converted to an infected template by the "FileSaveAs" macro.
  91.  
  92.  
  93. THE SAGA CONTINUES--EVEN MORE VIRUS TRICKS:
  94.  
  95. Another interesting aspect of this virus is that once you open an
  96. infected document, the MS Word environment itself becomes infected.
  97. This means that if you restart MS Word with no files open, you will
  98. already be infected; all files saved with "File Save As" will be
  99. infected templates.  The virus accomplishes this by modifying the
  100. "NORMAL.DOT" file.  This file contains the global macros used by MS
  101. Word. Essentially this makes the virus' macros always present (and
  102. active) in the MS Word environment.
  103.  
  104.  
  105. IS IT REALLY A VIRUS?:
  106.  
  107. Microsoft is calling this "Prank Macro" and not referring to it as
  108. a virus.  Does this really qualify as a virus?  Yes, unfortunately it
  109. does.  When you open an infected document (actually a template), you
  110. automatically execute the virus code.  This code modifies the MS
  111. Word environment so that all future documents saved using "File Save As"
  112. will be infected templates.  This transfers the infection from one host
  113. document to another and is actually spreading in the wild.
  114.  
  115.  
  116. THE FRIENDLY VIRUS?:
  117.  
  118. This virus is fortunately VERY easy to spot.  When you open an infected
  119. file for the first time, you will see a box appear containing the number
  120. "1" and nothing else.  This apparently was intended by the author of the
  121. virus.  The virus does not have a destructive payload but it creates a
  122. macro called "Payload" that could easily be modified to do something
  123. destructive.  Several quickie removers leave the "Payload" macro in
  124. place since the presence of this macro will prevent reinfection by
  125. the virus.  The virus checks for the presence of a macro called
  126. "Payload" and will not infect if it sees a macro called "Payload"
  127. already there. The virus also adds two other macros to the global macro
  128. pool: "AAAZA0" and "AAAZFS". These macros are very easy to spot and
  129. provide a quick way to check if you are infected.  In MS Word, simply
  130. click on "Tools" and then "Macros" and check if these macros are listed.
  131. Beyond spreading, this virus does no real damage.  The same may not be
  132. true for future viruses of this type.  This virus is VERY easily
  133. modified (even by a non-programmer) and we expect to soon see new
  134. variants that may not be so easy to spot.
  135.  
  136.  
  137. HOW TO REMOVE THIS VIRUS:
  138.  
  139. You could get one of the few anti-virus products that have been updated
  140. to detect and remove this virus (we have produced a prerelease upgrade
  141. to Integrity Master that detects this virus and is available for
  142. download from our support sites.) or you start MS Word and check for
  143. the "AAAZA0" and "AAAZFS" macros. If you see them, you are infected,
  144. if not, you are clean and don't need to check your existing documents.
  145. If you are infected, open all suspect files including
  146. NORMAL.DOT and delete the macros added by the virus.  To do this,
  147. click on "Tools", then "Macros" and then delete the following
  148. macros "AAAZAO", "AAAZFS", "AutoOpen", "FileSaveAs".  There is
  149. also a macro called "Payload" that you can delete but leaving this
  150. macro in place will prevent reinfection by this virus.
  151.  
  152.  
  153. THE FUTURE THREAT:
  154.  
  155. Concept is fairly easy to deal with.  Other viruses of this
  156. type will not be so easy.  If you don't use MS Word you may think
  157. you are safe but any language that supports a similar macro language is
  158. vulnerable to a virus of this type.  MS Excel, Lotus 1-2-3,  and Quatro
  159. Pro contain languages which would allow writing of viruses that
  160. could spread in these environments. It's important to understand
  161. that such viruses would spread only within those specific
  162. environments rather than universally (the way existing executable
  163. and boot sector viruses spread).
  164.  
  165. We now have additional viruses utilizing the macro capability. A recent
  166. virus (but not in the wild yet) is WordMacro.Nuclear (AKA WordMacro.Alert).
  167. This virus does not announce it's presence with a dialog box. Furthermore this
  168. virus drops a normal file infecting virus called Ph33r.  The Ph33r virus
  169. is memory resident and infects .COM and .EXE files.
  170.  
  171. You can spot the Nuclear virus since it contains the macros:
  172.  
  173. AutoExec, AutoOpen, FileSaveAs, FilePrint, FilePrintDefault,
  174. InsertPayload, DropSuriv, FileExit, and Payload.
  175.  
  176. If the system time is between 5PM and 6PM the macros will drop the Ph33r
  177. virus.
  178.  
  179. Nuclear will occasionally append the following text when
  180. printing documents:
  181.  
  182.  And finally I would like to say:
  183.  STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC!
  184.  
  185.  
  186. On April 5th of any year, the virus deletes files IO.SYS and COMMAND.COM.
  187.  
  188.  
  189. PROTECTION AGAINST FUTURE MACRO VIRUSES.
  190.  
  191. There are steps you can take now to protect yourself against future
  192. macro viruses similar to Concept.
  193.  
  194.  
  195.     If you click on "Options" under "Save" you can ask MS Word to get
  196.     your approval before modifying NORMAL.DOT.  This will disable one
  197.     of the tricks used by Concept and likely used in future
  198.     viruses of this type.
  199.  
  200.     It should be obvious to you that the reason this virus works is
  201.     that it executes without your knowledge in the "AutoOpen" macro.
  202.     Turning this off would eliminate this type of attack and the MS
  203.     Word documentation provides a way to do this. Just start MS Word
  204.     with the command:
  205.  
  206.                winword.exe /mDisableAutoMacros
  207.  
  208.     This supposedly disables all auto macros. UNFORTUNATELY IT DOESN'T
  209.     WORK!  I assume MicroSoft will soon fix this and we can use the
  210.     above option.
  211.  
  212.     A technique which does work is to enter the following macro.
  213.     Click on "Tools" and then "Macros" and create a new macro
  214.     called "autoexec".  (This macro will automatically execute
  215.     every time you start MS Word.)  Enter the following text as your
  216.     macro (it's a short Word Basic program):
  217.  
  218.     SUB MAIN
  219.        DisableAutoMacros 1
  220.        MSGBox "Automatic Macro Execution is now OFF",-1
  221.     END SUB
  222.  
  223.  
  224.     Every time you now start up Word, it will turn off Automatic Macros
  225.     effectively eliminating a viral attack using automatic execution
  226.     macros
  227.  
  228.     Integrity Master and other anti-virus products are being updated to
  229.     provide additional protection against this type of virus so it's
  230.     helpful to keep your protection up-to-date.  We have released
  231.     a special prerelease update (2.60a) to Integrity Master to detect this
  232.     virus by name. This update is available on CompuServe as file
  233.     I-MUPD.ZIP (In the Stiller library, #6) and from our primary support
  234.     BBS:
  235.  
  236. First time callers can download and get support for Integrity Master
  237. from Wingit!  Call 904-386-8693 for 9600 to 28.8kbps
  238. and HST modems or 904-385-0449 (for all but HST). For really fast
  239. access, you can log on as user: "Integrity Master" (without the
  240. quotes) and you will be offered the download of Integrity Master.  The
  241. update is contained in file I_MUP26.ZIP.
  242.  
  243. All later updates will, of course, detect
  244. these viruses also.
  245.  
  246.  
  247.  
  248. Macro Viruses in perspective
  249.  
  250. It's important to realize that Concept is easy to recognize and
  251. easy to remove if you do get infected. This virus is no cause for alarm.
  252. There is some reason for concern regarding future viruses using the
  253. techniques used by this virus.  Make sure your anti-virus protection
  254. is prepared to handle this new threat.
  255.  
  256.