home *** CD-ROM | disk | FTP | other *** search

---

/ Collection of Hack-Phreak Scene Programs / cleanhpvac.zip / cleanhpvac / MVUPDAT3.ZIP / MACRO_AV.ZIP / MACRO011.TXT

< prev

Wrap

Text File  |  1996-05-01  |  87KB  |  1,813 lines

---

1.       --------------------------------------------------------------
2.                     MS WORD 6.x MACRO VIRUSES FAQ V2.0
3.                        <Frequently Asked Questions>
4.                      for the ALT.COMP.VIRUS Newsgroup
5.       --------------------------------------------------------------
6.             Author: Richard John Martin < bd326@Torfree.Net >
7.                    Senior Consultant, HIGH SPEED DEMONZ
8.                    - Anti-Virus Research Labs, Canada -
9.       --------------------------------------------------------------
10.                       Last Updated: March 8th, 1996
11.       --------------------------------------------------------------
12.                            "a work in progress"
13.       # words: 12263                                   # lines: 1801
14.       --------------------------------------------------------------
15.  
16. OBJECTIVE: This FAQ will explain the WORD MACRO VIRUS family of viruses,
17. and will explain how infections occur.  It will also when possible, detail
18. how to clean them up, and how to prevent infections in the first place.
19.  
20.       --------------------------------------------------------------
21.  
22. Before we get to the details, here is some info regarding the terms I have
23. chosen to use in this FAQ.
24.  
25. Vx or VX refers to the Virus Writing Community at large, regardless of any
26. individuals virus writing experience, or popularity.
27.  
28. AV refers to the Anti-Virus Community, including Researchers, Hobbyists,
29. and Software/Hardware Developers.
30.  
31. GUI refers to Graphical User Interface. <ex. Windows 3.1>
32.  
33. MAC refers to Apple MacIntosh Computers, usually both the Current POWER PC
34. MAC<PPC> and the earlier models. <unless otherwise stated>
35.  
36. MS refers to MicroSoft Corporation, and products made by them.
37.  
38. PC refers to IBM Brand Computers running on the x86 <including early x88,
39. AT, XT models> series of processors produced by INTeL, AMD, NeXTGEN, and
40. CYRIX, as well as IBM Clone or Compatible computers.
41.  
42. OS, or Operating System, will refer to the Disk Operating Systems that
43. handle basic I/O, file management, etc.  MS-DOS, PC-DOS, DR-DOS, DIP-DOS,
44. Tandy DOS, COMPAQ-DOS all fit into this category.  Operating Systems with
45. GUI's like WINDOWS NT, OS/2 WARP, MacOS, AMIGADos, and WINDOWS '95 also fit
46. this category. <it could be argued that WINDOWS '95 is NOT AN OS, as an
47. enhanced version of the classic MS-DOS OS is loaded prior to the loading of
48. WINDOWS Environment.>
49.  
50. Operating Environments, refers to interfaces that run on top of NON-GUI
51. OS's such as Windows 3.0, 3.1, 3.11, Windows for Workgroups, early OS/2
52. versions prior to WARP.
53.  
54. Operating Platform, refers to the combination of Computer Architecture, OS,
55. and sometimes GUI.  Examples of Platforms can include, but are not limited
56. to the following...
57.  
58.        x86 PC's running DOS
59.        x86 PC's running either DOS/Windows 3.0 - 3.11 <most popular>
60.        x86 PC's running DOS/OS/2 2.x or lower
61.        x386 PC's running DOS/Windows For WorkGroups 3.1 - 3.11
62.        X386 PC's running Windows NT 3.5
63.        X386 PC's running Windows '95
64.        x86 PC's running OS/2 Warp
65.        Apple Macs running MacOS <system x-7.5>
66.        POWERMacs running MacOS
67.        Alpha's running NT
68.  
69. When Possible, distinctions between PC and MAC centric issues will be made,
70. but be forewarned this document is PC heavy.
71.  
72. NOTE: Use of VIRII as a plural of VIRUS has been dropped from this FAQ.
73. The term VIRUSES will be used instead.  Complaints can be forwarded to
74. ALT.COMP.VIRUS where someone will be glad to argue with you till they're
75. blue in the face! :)
76.  
77.       --------------------------------------------------------------
78.  
79. WARNING:  User definable virus search strings are littered thoughout this
80. document.  They will help users with older version of Anti-Virus software.
81. However, we suggest that you should acquire up-dated copies of the AV
82. software, which will have these strings included, and save you some
83. trouble.  Also note that using TOOL/MACRO as a way of hunting down macro
84. infections can be dangerous.  It is preferred that you use dedicated AV
85. software to hunt down infection.
86.  
87.       --------------------------------------------------------------
88.                               [[[[ NEWS ]]]]
89.  
90. NOTE:  HIGH SPEED DEMONZ now has it's own WWW homepage.  you will find
91. updated copies of this FAQ at...
92.  
93.        http://learn.senecac.on.ca/~jeashe/hsdemonz.htm
94.  
95. as well as other sites, including many popular AV sites.  Keep an eye on
96. the Page, as new things will shortly be added, plus an HTML version of the
97. FAQ is being prepared.
98.  
99. With any luck, things will return to normal around here.  Updated copies of
100. the FAQ should resume it's former schedule of updates once every 2 weeks.
101.  
102.       --------------------------------------------------------------
103.  
104. TOPICS/QUESTIONS:
105.  
106.        Preface: INTRODUCTION
107.        =====================
108.  
109.        1)  WHAT IS A MACRO?  WHAT IS A WORD MACRO?
110.                1.1>    WHAT IS A VIRUS?
111.                1.2>    WHAT IS A MS WORD MACRO VIRUS?
112.        2)  HOW DOES INFECTION OCCUR?
113.        3)  KNOWN FEATURES AND LIMITATIONS OF THE WINWORD FAMILY OF VIRUSES
114.        4)  VIRUS EXAMPLES
115.                - 4.1 - CONCEPT
116.                - 4.2 - NUCLEAR
117.                - 4.3 - COLORS
118.                - 4.4 - DMV
119.                - 4.5 - HOT * NEW *
120.                - 4.6 - MS WORD 2/MS WORD 6.x MACRO TROJAN WEIDEROFFEN * NEW*
121.                - 4.7 - AMI PRO 3.0 MACRO VIRUS GREEN STRIPE  * NEW *
122.                - 4.8 - WORDMACRO ATOM / ATOMIC * NEW *
123.                - 4.9 - FORMATC MACRO TROJAN * NEW *
124.        5)  STRATEGY FOR CLEANING AND PREVENTING WORD MACRO INFECTIONS
125.        6)  SUGGESTED SOFTWARE:
126.                -PRODUCTS THAT CAN DETECT/CLEAN WINWORD VIRUSES INFECTIONS
127.                 IN DOCUMENTS
128.        7)  CREDITS & THANKS
129.        8)  DISTRIBUTION INFORMATION
130.        9)  WHERE CAN I OBTAIN UPDATED COPIES OF THIS FAQ?
131.        10) QUESTIONS THAT STILL NEED TO BE ANSWERED...
132.        11) DISCLAIMER
133.  
134.       --------------------------------------------------------------
135.  
136. INTRODUCTION:
137. =============
138.  
139. During the last year, we have witnessed the birth of a whole new type of
140. virus, the WORD 6.0 MACRO VIRUS.  The opening statement isn't entirely
141. true, as the idea of MACRO viruses isn't a new one, but this is the first
142. time that a macro virus has spread to the point of being considered "IN THE
143. WILD" by the Anti-Virus Community.
144.  
145. It is possibly the first Virus to be truly a CROSS-PLATFORM <not including
146. WORMS> infector, since any systems running compatible copies of WORD 6.0,
147. or those systems that emulate Word 6.0's macro language can be infected.
148.  
149. It is also the first group of viruses that prove NON-Executables can infect
150. systems.  It had been theorized for years by the best in the industry, as
151. people started to realize the power of the MACRO Languages that were
152. included with program like 1-2-3, Excel, and numerous Word-Processors.
153.  
154. It is far less important to classify these viruses as data or executable
155. code or both, than to acknowledge their existence, and the need for
156. preventive measures against them.
157.  
158. To better understand the issues covered in this FAQ, the WORD MACRO
159. VIRUSES, it's necessary to first explain what a virus and a macro is.
160.  
161.       --------------------------------------------------------------
162.  
163. TOPIC 1: WHAT IS A MACRO?  WHAT IS A WORD MACRO?
164. ================================================
165.  
166. It is best to first describe what a Macro is.  A macro is a collection of
167. instructions to be carried out by a program or computer.  These
168. instructions, typically handle tasks that are boring, awkward, and tedious
169. in nature.
170.  
171. Dos users have been using a macro language for years to automate the
172. mundane and repetitive tasks common to maintaining a computer system.
173. Commonly known as the BATCH Language.  In DOS, Files with the .BAT
174. extension are interpreted <by the Command Processor COMMAND.COM> and are
175. executed line by line, automating tasks <the most common example of a batch
176. file is the AUTOEXEC.BAT file, found in the root directory on every MS DOS
177. based PC in the world>.
178.  
179. NDOS & 4DOS Users have their own enhanced version of the batch languages
180. <files with the extensions .BTM>, which allows the same batch files, with
181. additional commands, to be read by the NDOS or 4DOS command interpreters
182. <NDOS.COM & 4DOS.COM> as a whole file into memory for execution <which
183. increases the speed of the batch file>.
184.  
185. OS/2 Users have enjoyed an even better Macro Language, the REXX
186. batch/Programming language.  It is much more robust, and better suited to
187. deal with demanding tasks.
188.  
189. WORD MACROS, are Macros that can carry out and follow lists of
190. instructions, usually saving a user keystrokes.  The abilities of the WORD
191. MACROS are limited to the functions provided by the MS WORD WordBasic
192. Environment, included with the WORD 6.x level of Word Processors from
193. MicroSoft.  NOTE: WordBasic included with WORD 1.x, 2.x have enought
194. similar commands in their languages to warrant consideration.
195.  
196. Imagine having to add your name, address, phone#, and other personal info
197. to dozens of documents daily, it would become tedious fast.  Macros can
198. automate the process, saving alot of time and effort.  The power of the
199. WordBasic Macro Environment gives the users, both home users and business
200. users alike the ability to automate many tasks, including file management,
201. from within MS WORD.  Macros also include the ability to affect other
202. running applications, via  the Word Macro language, by DDE etc.  Unknown to
203. the author at this time, it's been theorized that OLE abiltiy may also
204. exist in the WORDBASIC macro Language. <BOTH DDE and OLE may be entry point
205. for future viruses>
206.  
207. MS WORD MACROS are only executable by the WORDBasic environment, which is
208. limited to functional copies of MS WORD 6.x /7.x and sometimes 2.0, as well
209. as WORDVIEW 7.1.  For the sake of this FAQ, MACROS will be considered Data
210. files.  Macros require interpretation by the WordBasic Environment, and are
211. not executed in the classic DOS sense.  Executables will be defined as
212. files that follow the classic standards, including EXE, COM, NEWEXE, BAT
213. <yes they are interpreted, but they are also almost always DIRECTLY
214. executed by the user, and as such almost fall into the same GREY area that
215. these macro viruses fall into> as well as the programs in the boot-sector,
216. master boot sectors.  It could be argued that WORD macro are a combination
217. or data and executable code.    A notable exception to the batch file rule,
218. is the WINSTART.BAT file, which Windows 3.11 for WorkGroups looks for in
219. every directory in the path, and tries to execute.  It'll be executed
220. whether the user wishes it to be or not.
221.  
222. NOTE: David Harley <harley@europa.lif.icnet.uk> and Joseph Stafford
223. (stafford@twsuvm.uc.twsu.edu) have noted that MicroSoft Word Wizards are
224. also WORD Macros.  Wizards are simply templates with the WIZ extension,
225. which include an AutoNew Macro, which call a Start Wizard Macro.  WIZ files
226. may soon fall prey to macro infections.
227.  
228.       --------------------------------------------------------------
229.  
230. TOPIC 1.1: WHAT IS A VIRUS?
231. ===========================
232.  
233. A computer VIRUS, is a  <usually compiled> computer program, that is able
234. to replicate in whole or part it's code, by infecting or modifying other
235. programs, and adding to or overwriting the code of uninfected files with
236. code <possibly evolved or unique forms of the infector> that will in turn
237. infect other programs.  Viruses must be able to replicate.  A Virus that is
238. unable to replicate isn't technically a virus. <by our definition>
239.  
240. NOTE:  Viruses can and sometimes do infect files indirectly, without
241. altering the CODE of executable files.  For instance, File System or
242. Cluster viruses ( Dir-II, BYWay ) are those which alter directory entries,
243. pointing a legitimate directory entry first to it's malicious code, so the
244. virus can be executed, and then the desired program is executed.  The
245. program itself is not physically altered, but the directory entry is.
246.  
247. Viruses may, and often do have destructive bombs or payloads, which do
248. something other than replicate.  Many payloads include destroying data,
249. deleting files, encrypting parts of hard drives, etc.  Common targets for
250. Viruses include standard Executables like *.COM, *.EXE, and NEWEXE files,
251. as well as the programs used by the computer to boot up, including the
252. programs <executable code> found in Boot sectors, and Master Boot Sectors.
253. Other DOS executables can also be infected, such as *.DLL and *.BIN, *.DRV,
254. *.OV? *.OB? and *.SYS files.  Not all of these executable will allow for
255. the proper execution of viral code, and can/may either hang the machine,
256. crash a session, or simply not function, producing numerous errors.  Common
257. examples of executable files include COMMAND.COM, EMM386.EXE,  Windows
258. Executables, MOUSE.DRV, DRVSPACE.BIN, and HIMEM.SYS. <everyone with Modern
259. release of MS-DOS and WINDOWS should recognize these files>
260.  
261. A sub-class of viruses, known as Trojan Horses, are commonly, and possibly
262. incorrectly considered viruses.   A Trojan Horse, named after the Greek
263. Battle Tactic, is a program, that is stated and promoted as being able to
264. do something useful or interesting <like a game or utility>, but in turn
265. does something malicious.<like drop a virus for later infection>  Trojans
266. typically DO NOT ACTIVELY REPLICATE.  They may inadvertently get copied
267. around and distributed, but this has little or nothing to do with any
268. replication code in the TROJAN.
269.  
270. NOTE : It can be argued that Viruses by the above definition, are Trojans.
271. This argument would have Viruses listed as replicating Trojans.  Defining
272. these two groups of programs isn't really relevant, as long as you
273. understand the premise behind both groups.  For a more detailed definition
274. of VIRUSES, refer to the ALT.COMP.VIRUS VIRUS FAQ, by David HARLEY, or the
275. COMP.VIRUS/VIRUSL FAQ's on VIRUSES.  Both are an excellent source of virus
276. related info.  Both are reposted regularly to their respective newsgroups.
277.  
278.       --------------------------------------------------------------
279.  
280. TOPIC 1.2: WHAT IS A MS WORD MACRO VIRUS?
281. =========================================
282.  
283. An MS WORD MACRO Virus, is a macro <list of instructions> or template file
284. <usually with the .DOT extension> which masquerades as legitimate MS WORD
285. documents <usually with the extension *.DOC>.  An infected *.DOC file,
286. doesn't look any different to the average PC user, as it can still contain
287. a normal document.  The difference is that this document is really just a
288. template or macro file, with instructions to replicate, and possibly cause
289. damage.  MS WORD will interpret the *.DOT macro/template file regardless of
290. extension, as a template file.  This allows for it being passed off as a
291. legitimate document <*.DOC>  This FAQ takes the position that a document is
292. meant to be DATA, and a MACRO is at least partially executable CODE.  When
293. a document has been infected, it has been merged with executable code in a
294. multi-part file, part data/part executable.  This tends to be hidden from
295. the user, who expects a document to be data that is READ, and not some
296. combination of DATA and executable code designed to be executed, often
297. against the will of the user, to wreck havok.
298.  
299. These viruses commonly tend to infected the global macros, which get
300. automatically saved at the end of each session.  When the next session of
301. MS WORD opens, the infected Global Macros are executed, and the WORD
302. Environment is now infected, and will in turn be likely to infect documents
303. whenever they are opened, closed, and created during all future sessions.
304.  
305. As a Virus, the WORD MACRO VIRUSES do REPLICATE.  They can spread in most
306. cases to any MS WINDOWS Environment or OS that runs a compatible copy of MS
307. WORD 6.x or 7.x, MS WORD 6.x running on OS/2, as well as WORD for MAC 6.0
308. for MacOS.  This makes it a multi-platform/multi-OS file infector.  It also
309. makes it one of the first non-research viruses to be successfully spread to
310. all of these environments and OS's
311.  
312. MS Word Macro Viruses reside in interpreted data that can spread to
313. different OS's/platforms.  These viruses do not spread via modification of
314. executable machine code, but by modification of data in files that are
315. interpreted by the Microsoft Word 6.0 program and any other versions of
316. Word that support macros and WordBasic.
317.  
318. MacIntosh Word Users have an advantage over the PC world, as infected
319. documents appear with the template icon, rather than the usual document
320. icon.  This means that Mac Users can visually tell before-hand whether a
321. Document is infected or not.
322.  
323. For responsible Word 6.x users, Macros can also be of great use.  The Macro
324. Language of WORD 6.x <WORD BASIC> is a powerful tool, and can accomplish
325. many tasks, including altering files, copying files, and executing other
326. programs. What makes this macro language so powerful is also what makes it
327. a target for the Vx community.  The idea of the Vx community exploiting
328. macro languages had been theorized for years, but has only recently been
329. developed and spread throughout the world.
330.  
331. WordBasic Macro Language is much simpler to learn and master than
332. ASSEMBLER, or other popular higher Level programming languages, and for
333. this reason, Vx people <both new and old alike> have taken to it as a
334. viable alternative to learning and coding ASM .  The thought of ticking
335. users off on more than one platform has been around for years, and now
336. thanks to MS WORD, and all it's compatible versions on other popular
337. platforms, the Vx people have their wish.  Another Bonus of this new outlet
338. for Vx writers, is that many virus scanners only scan Executable files,
339. leaving the .DOC files of WORD alone.  It is important to note that many AV
340. producers have now included scanners/cleaners to their software, allowing
341. for the detection of existing MS WORD Macro Viruses.
342.  
343. Vx people also know that many people never exchange programs, but regularly
344. exchange documents <those in the corporate circles for example> which meant
345. that there was a whole new region of unsuspecting users to infect.  On top
346. of the power and lower learning curve of this language, and the popular
347. past conception that non-executables are relatively safe from infection and
348. becoming themselves infectors has allowed the Word Macro Virus spread like
349. "Wildfire". < Editor smiles :) >
350.  
351. Even until just recently, members of the respected AV community
352. inadvertently continues these classic misconceptions that NON-executables
353. <DATA FILES> cannot infect systems, and that no VIRUS can infect on a
354. CROSS-PLATFORM basis.  F-PROT V2.21 <Dec '95> continues these
355. misconceptions in the file VIRUS.DOC, included with their DOS command line
356. scanner...
357.  
358.        "A virus cannot spread from one type of computer to another.  For
359.        example, a virus designed to infect Macintosh computers cannot
360.        infect PCs or vice versa."
361.  
362.        "A virus cannot infect a computer unless it is booted from an
363.        infected diskette or an infected program is run on it.  Reading
364.        data from an infected diskette cannot cause an infection."
365.  
366. This isn't meant to be a knock on F-PROT... they easily have one of the
367. best virus scanners on the market.  They're just too busy keeping us
368. VIRUS-FREE that they simply haven't gotten around to updating this older
369. file! :)  <Info on obtaining a copy of F-PROT is included in the SUGGESTED
370. SOFTWARE area of this FAQ.>
371.  
372. Heck, a year ago, those two quotes were standard replies to virus related
373. questions regarding how viruses spread, and at the time you'd be
374. hard-pressed to prove these quotes wrong. Now, the new realities are
375. setting in.  The MS WORD Macro Virus Family have changed the rules.
376. Infection from simply reading a document is NOW possible.
377.  
378. So, a WORD MACRO Virus, is a collection of instructions, known as a macro
379. or template which WinWord <Word 6.x> executes.  The list of instructions in
380. the macro can copy and delete files, alter them, make whole changes to
381. template files, drop other viruses, and execute programs, including ones it
382. has dropped.  These Macro Viruses <as defined in section 1> aren't directly
383. executable.  They are actually read <and interpreted and executed> by the
384. MS WORD WordBasic Interpreter.  This is the first time a virus infection
385. has occurred in the mainstream user market where a file was only read <or
386. at least the user thought was only going to be read> for it to be
387. executed.
388.  
389. MSN - MicroSoft Network, and other similar ON-LINE services, have also
390. contributed to the spread of Word Macro Viruses, via a feature included in
391. their terminal programs, MIME-compliant mailers (e.g., Eudora). and WWW
392. browsers (e.g., Mosaic and Netscape).  This features, allows users to
393. download and view .DOC files while on-line...  the terminals can run the
394. associated program for .DOC files, <MS WORD> and therefore immediately
395. infect users systems.  This mechanism WILL also allow the virus to be
396. introduced into your system via mail or a WWW page.  Use such automatic
397. execution with caution.  Had the Macro Viruses never been created, this
398. feature would be of benefit.
399.  
400. NOTE:  Reading Infected documents with anything other than a copy of MS
401. WORD will not activate and spread the infection.  For the virus to become
402. active, MS WORD is required, and it must be WORD that is used to view the
403. document.  For example, NORTON UTILITIES Norton Commander <DOS> has a
404. document viewer, able to view 10-12 of the most popular formats for
405. documents, including various versions of WORKS, WORD and WordPerfect
406. documents.  Using the viewer to read an infected document, and telling it
407. to use WORD 6.x format, will allow you to view the document, but will NOT
408. and CAN NOT execute any macros.
409.  
410. At the time of this writing, it was mentioned to me that MicroSoft had
411. released a WORD Document Viewer, that does not execute Macros, that could
412. be used in place of WORD for the purpose of viewing Documents while
413. on-line.  MSN or it's affiliated BBS services should have the file
414. available for download.
415.  
416. UPDATE: Eric Phelps noted that a newer version to the WORD Viewer is now
417. available from MS, called WordView 7.1.  Unlike it's predecessor, it will
418. execute some MACROS.  Users who uses the Veiwer to prevent macro infection,
419. should stick to the previous version.  This WordView 7.1 doesn't have a
420. NORMAL.DOt to infect, but it still allows for an entry point into your
421. system.  Use WordView 7.1 with caution.
422.  
423.       --------------------------------------------------------------
424.  
425. TOPIC 2: HOW DOES INFECTION OCCUR?
426. ===================================
427.  
428. Typically, a MACRO infection occurs when an infected macro instructs the
429. system to overwrite or alter existing system macros with infected ones, by
430. adding to or altering macros in the GLOBAL MACRO list, which in turn tend
431. to infect all documents opened and written thereafter.
432.  
433. When Word opens a document <.DOC>, it first looks for all included macros
434. in it.  This is alittle misleading... MS WORD looks at the DOC, first
435. thinking it is a DOC, but finds that it has TEMPLATE/MACRO code <meaning it
436. isn't technically a document, but a template file> If it finds the AutoOpen
437. Macro, or other AUTO macros, Word will automatically execute this macro.
438. Typically, in the case of an infected .DOC file, this macro will instruct
439. the system to infect important key macros and template files. Those Macros
440. will in turn infect any documents opened thereafter. <hence the Term
441. VIRUS>
442.  
443. Typically, the FileSaveAs Macro is replaced or overwritten, so that an
444. infected copy can then determine how all future documents will be saved.
445. This means it gains the control of what file format to save in, and what
446. macros to include into the document.  All this is seamless, and most of the
447. time you may not even realize this is happening.   When the user executes
448. the FileSaveAs command, the virus (e.g., Concept) displays the *usual*
449. dialog box, letting the user fill in the fields for the file name,
450. location, type, etc. Onl *afterwards* the virus changes the type of the
451. file to template - so the user doesn't see anything unusual.  AutoOpen and
452. other Macros are then included into documents.   When exchanging documents
453. with uninfected computers, the system becomes instantly infected as soon
454. you try to view and load the infected document <macro/template> with a
455. compatible copy of MS WORD!
456.  
457. At the end of a WORD session, MS Word automatically saves all Global Macros
458. into the Global Macro File, typically the Normal.DOT file.  Now all future
459. sessions of Word will infect documents it opens until you replace
460. NORMAL.DOT with an uninfected copy.  <or delete the infected macros>
461. Otherwise, MS Word Loads, and will load infected GLOBAL MACROS before you
462. do a single thing.  NOTE: Some macros will save to the Global macros on
463. their own!
464.  
465.       --------------------------------------------------------------
466.  
467. TOPIC 3: KNOWN FEATURES AND LIMITATIONS OF THE WINWORD FAMILY OF VIRUSES
468. ========================================================================
469.  
470. Common features of this family of viruses include the inability to save an
471. infected document in any format other than Word Template Format, the
472. documents are converted into Template format <used internally in Word, and
473. by the user>, and tends to disallow saving of file/document in any other
474. directory using the SAVE AS command<You can save the infected document
475. anywhere you want - when it is first infected. Only if you *load* an
476. *already infected* document, and *then* try to use the FileSaveAs command
477. on it, will Word try to force you to save it in the template directory -
478. because it is now a template; not a simple document.>.  Most WORD MACRO
479. VIRUSES and TROJANS to DATE only affect ENGLISH ONLY Copies. Some
480. exceptions apply.  In Nationalized copies of WORD, the macro language
481. commands have been translated to the national language, therefore macros
482. created with the English version of Word will not work. <makes perfect
483. sense to me... anyone know how AutoOpen is spelled in French? :) >
484.  
485. [ according to Vesselin Bontchev <bontchev@complex.is> The auto macros are
486. always spelled in one and the same way in al nationalized versions. It is
487. things like FileSaveAs that are translated ].
488.  
489. NOTE:  PC Users will likely not notice the difference between a TEMPLATE
490. infected file masquerading around as a document file, as word will
491. recognize Macro Templates in a file regardless of the extension used by the
492. Template <Default *.DOT>.  <Send Complaints to BILL GATES, C/O MICROSOFT
493. CORP.> MacIntosh Users can visually tell whether a Document is infected or
494. by, since infected documents appear with the template/macro icon, instead
495. of the normal document icon.  A file that is indicated by a template icon
496. may simply be a harmless template, that the user has made, containing
497. legitimate macros.  This MAC advantage will depend on how the document is
498. opened.  Opening with the File / Open command will not help a MAC user make
499. the distinction.  Viewing parameters for a folder will also determine
500. whether a MAC user will notice the template file.  Viewing by size, name,
501. or date will not help, as the icon isn't displayed properly.
502.  
503. A Feature common to most viruses of this type is the ability to spread to
504. other platforms, making this family of viruses unique, and dangerous.  They
505. can and will spread to almost any platform operating with a compatible copy
506. of MS Word 6.x+.  <some exceptions apply>
507.  
508. Although other word processors like WordPerfect and Ami Pro do support
509. reading MS Word documents, they can not be infected by these viruses. These
510. program have the ability to read documents, but not to execute the macro
511. language command that may be imbedded.
512.  
513. It's worth noting that macro viruses whose payloads have no effect on a Mac
514. (PC emulators excepted) will nevertheless replicate on the Mac unless they
515. use one of the relatively few WordBasic functions specific to Windows in
516. the infection/replication routine.
517.  
518.       --------------------------------------------------------------
519.  
520. TOPIC 4: VIRUS EXAMPLES
521. =======================
522.  
523. There are a number of Word Macro viruses in the wild, the first and
524. foremost being the CONCEPT Virus. <although DMV was created first, CONCEPT
525. is what pushed this new breed of viruses into the wild FIRST.  It was the
526. first to be widely recognized as a nuisance.
527.  
528.       --------------------------------------------------------------
529.  
530. 4.1: Concept Virus :
531. ====================
532.  
533. Also known by the Aliases of WW6Macro, WinWord.Concept, Word Basic Macro
534. Virus (WBMV), Word Macro 9508 <MAC> and Prank Macro <MicroSoft named it
535. Prank, to downplay the seriousness of the situation>.  This was the first
536. MS Macro Virus to be detected by the Anti-Virus community, and the first
537. Macro Virus to be considered in the wild, with infections spreading to the
538. US, UK, France, Germany, Bulgaria, Canada, the Netherlands, Turkey, and
539. Finland, and other Countries.
540.  
541. The proliferation of this virus is widespread, mainly due to 2 companies
542. ACCIDENTLY shipping this virus in infected documents found on their
543. CD-ROMS.  The first CD-ROM was...
544.  
545.         MicroSoft Windows '95 Software Compatibility Test
546.  
547. which was shipped to thousands of OEM companies in mid 1995.  In
548. August/September Microsoft distributed the Concept virus on a CD-ROM in the
549. UK called...
550.  
551.         "The Microsoft Office 95 and Windows 95 Business Guide"
552.  
553. The infected file is \Office95\Evidence\Helpdesk.DOC, dated August 17th,
554. 1995, <121,856 bytes> The third CD was...
555.  
556.         Snap-On Tools for Windows NT
557.  
558. which was distributed by ServerWare, who immediately withdrew it, warned
559. recipients, and re-mastered it. MicroSoft Corp.  is to be commended for
560. acknowledging their part in the spreading of this new virus, <calling it a
561. PRANK> and their effort in controlling the spread of it. They were quick to
562. respond to this new Virus threat with a Macro Scanner/Cleaner which is
563. available freely for download from MSN and associated services. <Note: it's
564. buggy>
565.  
566. This commendation should be taken with a grain of salt, as MicroSoft waited
567. up to two months before admitting there was a problem, down playing the
568. seriousness of the situation, and calling it a PRANK Macro, not befitting
569. an acknowledgment as a REAL virus in their view.  MS in turn requested help
570. from AV insiders, and subsequently released their own flawed FIX.  AV
571. people wanted info regarding internal information of the WORDBASIC Macro
572. Template Format.
573.  
574. Such help wasn't forthcoming, at least not until months later.   During the
575. whole time that the bulk of the AV people waited for help, MS cited their
576. FIX as being the only thing that CAN deal with this new virus, and that
577. Current AV Products were useless. <not the first time MS has thrown rocks
578. at competitors...>  The statement from MicroSoft is only partially true, as
579. a number of AV companies figured out the Macro format on their own, and
580. released their own fixes. Those of us who are used to dealing with
581. MicroSoft would agree that 5 months of waiting, being told you're wrong,
582. then finally getting the help you asked for was "a quick response". :)
583.  
584. A CONCEPT Infection is easy to notice, on the first execution of the virus
585. infected document (on the first opening of the infected file) the
586. MessageBox appears with digit "1" inside, and "Ok" button.  Also, simply
587. checking the TOOLS/MACROS option to check loaded macros, the presence of
588. concept is apparent by the appearance of these 5 macros :
589.  
590.        AAAZFS *
591.        AAAZAO *
592.        AutoOpen
593.        PayLoad *
594.        FileSaveAs
595.  
596. NOTE:  Using the Tools/Macro option to view in memory macros can be
597. misleading, and dangerous, as some viruses will intercept this call.  The
598. Tools/Macro option should be used with caution with all viruses, and
599. shouldn't be considered as a genera way to look for macro viruses. The
600. Colors virus for example intercepts this comman and activates if it is
601. used.
602.  
603. You may be currently using legitimate macros that go by the names of
604. AutoOpen and FileSaveAs, so these two may not be out of place.  However, it
605. is unlikely that you use legitimate macros with names like Payload, AAAZFS,
606. and AAAZAO.  These 3 are the clearest signs of an infection.
607.  
608. Note: As has been noted in some press releases, the virus code is simple
609. for a novice to modify, so variants may also be present or appear soon.
610. The Macros are UNEnencrypted, and are easily viewable.
611.  
612. The following Text strings are in the infected documents...
613.  
614.        see if we're already installed
615.        iWW6IInstance
616.        AAAZFS
617.        AAAZAO
618.        That's enough to prove my point
619.  
620. Also, the line...
621.  
622.        WW6I=1
623.  
624. is added to WINWORD6.INI on infected systems.
625.  
626. The Concept Virus is able to run on compatible systems running Microsoft
627. Word for Windows 6.x and 7.x, Word for Macintosh 6.x, as well as in Windows
628. 95 and Windows NT environments. In Macintosh Word, infected documents
629. appear with the template icon, rather than the usual document icon.
630.  
631. NOTE TO WINDOWS '95/WORD '95 USERS:  Those of you who are running Windows
632. 95 and Word 95, and have Word set up to act as your Exchange mail program;
633. <WordMail.> are protected from the spreading abilities of CONCEPT, as
634. WORDMAIL disables the capability that lets Concept spread, so you cannot
635. get infected by reading mail with WordMail. However, if an incoming message
636. has an attached infected Word document, and you double-click on that
637. document to open it in Word, you will get infected.
638.  
639. F-Prot has made an Anti-Viral FIX for this ONE virus, known as WVFIX.  It
640. detects a Concept Infection, and can make modifications to WORD settings on
641. PC's to prevent further re-infection by this one virus.  Available now
642. from...
643.  
644.        Data Fellows FTP URL
645.        ftp://ftp.datafellows.fi/pub/f-prot/wvfix.zip
646.  
647. and...
648.  
649.        Command Software System's FTP site
650.        ftp://ftp.commandcom.com/pub/fix/wvfix.zip
651.  
652. and is included on F-PROT for DOS Diskettes.  If you don't have F-PROT
653. Professional which detects this virus, you can detect it manually with
654. older F-PROT versions, by placing the following 2 lines into your F-PROT
655. USER.DEF file, found in your F-PROT for DOS Directory...
656.  
657.        CE WordMacro/Concept
658.        646F02690D6957573649496E7374616E63650C67
659.  
660. then turn on the USER-DEFINED section of the Targets menu, and add *.DO? as
661. an extension to scan for, or scan for ALL FILES.  If F-PROT finds an
662. infected document with this method, use WVFIX to do an additional scan of
663. to confirm infection, as legitimate documents may get flagged using the
664. above search string.
665.  
666. SOPHOS SWEEP users can add detection of this virus to their older scanners
667. by executing Sweep in full Mode with the following <meant as one line, but
668. displayed below as 2...> command...
669.  
670.        SWEEP C:\*.* -F -REC
671.        -PAT=575736496e666563746f720606646f026904734d65240c67
672.  
673. Sweeps SWEEP.PAT file can also hold this pattern for you, so that you do
674. not need to type it out every time you wish to scan.  Add the following to
675. the SWEEP.PAT file using an ASCII Text Editor...
676.  
677.        Concept 5757 3649 6e66 6563 746f 7206 0664 6f02 6904 734d 6524 0c67
678.  
679. Users of IBM's Anti-Virus can add protection to their system for this Virus
680. Manually, or can acquire updated copies of AntiVirus from IBM.  To Manually
681. add detection of CONCEPT to IBM AntiVirus add the following three lines to
682. an ADDENDA.LST file in the same directory as VIRSIG.LST
683.  
684.         07734D6163726F24126A0D476C6F62616C3A4141415A414F
685.         %s the WordMacro.Concept %s
686.         DOC and DOT (COM format) files.  Mismatches=0.  No fragments.
687.  
688. Then use the "Check System" dialog to add "*.DOT" to the list of patterns
689. to check, or simply instruct IBM Anti-Virus to scan ALL FILES.
690.  
691. PC Users can also acquire the Macro Virus Protection Tool. (On CompuServe
692. or AOL, GO MS; on Microsoft Network, GO MACROVIRUSTOOL.) Follow the
693. instructions to run the file. It will look for macro viruses, both among
694. your macros, and any documents you specify. It will also install special
695. macros that will help prevent any further infection.
696.  
697. If you use SCAN.DOC, make sure that your copy of the "cleanall" macro is
698. not one of the early releases which contained a typo! Look for the line
699. Dlg.Pat$ = "*.doc;*.dot" used to set up the ".Name" argument for FileFind.
700. There should be NO space between the semicolon and the second asterisk. A
701. space here (found in early releases) prevents looking for ".DOT" files.
702.  
703. Microsoft has also made software available to counter this virus <on MACS>,
704. obtainable via the WWW from...
705.  
706.         <http://www.microsoft.com/kb/softlib/mslfiles/mw1222.hqx>
707.  
708. and via ftp from...
709.  
710.         <ftp://ftp.microsoft.com/softlib/mslfiles/mw1222.hqx>.
711.  
712. This FIX from Microsoft only renames the virus rather than removing it.
713. Also note that the file system scan function supplied ("Scan.doc") may not
714. actually find every occurrence of infected files on a Macintosh. A few
715. others vendors of major Macintosh anti-virus software are planning minor
716. releases of their products to cope with this virus or help identify its
717. presence.
718.  
719. If you need additional information, call Microsoft Product Support Services
720. at...
721.  
722.         206-462-9673 for Word for Windows
723.         206-635-7200 for Word for the Macintosh
724.  
725. or send an Internet e-mail message to...
726.  
727.         wordinfo@microsoft.com
728.  
729. Further info on CONCEPT Virus <albeit with an emphasis on the DOS, OS/2 and
730. Windows environments> is available from IBM's WWW server:
731.  
732.         <http://www.research.ibm.com/xw-D953-wconc>.
733.  
734. Note: A Personal Solution for this Virus is possible.  Simply make 2 dummy
735. macros <they don't need to do anything>, one as Payload, the other as
736. FileSaveAs.  This virus checks for the presence of these macros, and if
737. found, DOES NOT infect your system<The virus checks for the presence of
738. *either* of these macros, so usin just one (any) of them is sufficient>.
739. This is a CONCEPT virus solution only, and will likely become useless with
740. any future variants of Concept.
741.  
742.       --------------------------------------------------------------
743.  
744. 4.2: Nuclear :
745. ==============
746.  
747. Known widely as Winword.Nuclear, Wordmacro-Nuclear and Wordmacro-Alert.
748. This virus was the first WordMacro virus to infect <or at least to attempt
749. to infect> both data/documents <Word Documents .DOT and .DOC> as well as
750. executables <.COM/.EXE/NEWEXE>
751.  
752. In truth, it is 2 viruses, a macro virus which alters the Operating
753. Environment of WORD, and an executable file infector <as well as a system
754. file deleter>.  This makes NUCLEAR the first Macro Virus to also
755. incorporate, or at least try to incorporate a classic File Infector Virus.
756. This virus is actually quite ineffective in the destructive sense, detailed
757. later in this document. The infected documents contains the following nine
758. Macros...
759.  
760.        AutoExec
761.        AutoOpen
762.        FileSaveAs
763.        FilePrint
764.        FilePrintDefault
765.        InsertPayload   *
766.        Payload         *
767.        DropSuriv       *
768.        FileExit
769.  
770. which get copied into the GLOBAL Macro List.
771.  
772. General detection of NUCLEAR is easy, simply view the macros listed under
773. the Macros command under the Tools Menu.  If Macros "InsertPayload",
774. "Payload", and "DropSuriv" are listed, then you'll likely have a NUCLEAR
775. infection. <unless you named legitimate macros with the same names... :) >
776. NUCLEAR hides itself from detection, by disabling the "PROMPT FOR CHANGES
777. TO NORMAL.DOT" option.  Changes are made, and the user doesn't notice
778. anything.
779.  
780. NOTE: Use of the TOOL/MACRO command can be dangerous.  Some viruses subvert
781. this command.  Use with caution.  Use AV software to find and delete
782. infected macros.
783.  
784. The "InsertPayload" Macro will cause the following text to be added to the
785. end of printouts when printing documents. Every 12th printout will have the
786. following text added...
787.  
788.        And finally I would like to say:
789.        STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC!
790.  
791. which is appended to the file after the command to print is issued but
792. prior to the actual printing. FAX's sent via a FAX Print Driver will also
793. be affected, this much I know first hand.  From testing, I came to the
794. realization that some Vx putz will start messing with my outgoing faxes
795. behind our backs.
796.  
797. Another included Macro, is "Payload" which tries to delete IO.SYS,
798. MSDOS.SYS and COMMAND.COM on April 5th. It is ineffective, as WordBasic
799. can't reset the attributes of a file which has the System attribute set.
800. It has been noted that a variant that does work is being circulated.
801.  
802. The Second part of the Nuclear Virus is the executable infector.  The
803. DropSuriv Macro checks system time, and will attempt to drop the file
804. infector between 17:00/18:00.  However, the routine is flawed, and
805. shouldn't work on any system.  <fails due to a syntax error - not closed IF
806. statement, which makes this payload never executed> If DropSuriv DID work
807. properly, it would search for the standard DOS util DEBUG.EXE, if found,
808. the macro drops PH33r.SCR & EXEC_PH.BAT.  The Bat File is executed, and
809. then the hex dump file PH33r.SCR is converted from a DEBUG script into an
810. executable, and is in turn executed.  Later, the .SCR and the .BAT files
811. are deleted to cover its tracks.  The File infector then hooks INT 21h and
812. writes itself at the end of COM/EXE/NewEXE files.  <however, the memory is
813. released once this DOS task is completed, includes the memory resident
814. virus Ph33r> Unconfirmed reports state that a NUCLEAR infected Macro with a
815. fully operational DropSuriv Macro exist.
816.  
817. The following text strings are in the executable infector...
818.  
819.        =Ph33r=
820.        Qark/VLAD
821.  
822. SOPHOS SWEEP users can use a user-defined search string to find NUCLEAR,
823. simple by executing the following command <the following 2 lines are
824. actually ONE log one> using Sophos' SWEEP in full mode...
825.  
826.        SWEEP C: -F -ALL
827.        -PAT=63e6e5e5ee8fe6e3e48fefe3fd87b1c98aeaad8ca7918c93
828.  
829. Discovered on the internet, the discovered infected file ironically was
830. supposed to provide info on a previous Macro Virus, Concept.  Mac Users
831. will notice an infected document, since infected documents appear with the
832. template icon, instead of the usual document icon.
833.  
834.       --------------------------------------------------------------
835.  
836. 4.3:  Colors:
837. =============
838.  
839. Colors, is the first WINWORD Macro Virus that could be called cute <IMHO>.
840. This Virus has the noticeable ability to alter the Windows colors settings.
841. Mac Word is immune to the payload <the system colors attack> but is still
842. susceptable to the infection mechanism, which will attack documents.
843. Detection of infections is easy, as infected documents appear with the
844. template icon, rather than the usual document icon.
845.  
846. Commonly known as Rainbow or WordMacro.Colors, this virus was freely posted
847. to usenet newsgroups on October 14th, 1995. The Colors Virus will infect
848. the global template <usually NORMAL.DOT> upon opening of an infected
849. document.  An infected document contains the following macros:
850.  
851.        AutoOpen
852.        AutoClose
853.        AutoExec
854.        FileNew
855.        FileExit
856.        FileSave
857.        FileSaveAs
858.        ToolsMacro, and other macros.
859.  
860. All Macros included in COLORS are Execute-Only, and cannot be viewed or
861. edited by MicroSoft Word.  If normal "clean" macros with the same names
862. existed prior to infection, they will be overwritten by COLORS.
863.  
864. The AutoExec Macro of COLORS is an EMPTY Macro, possibly designed to defeat
865. any ANTI-MACRO-VIRUS schemes developed by the AV community.  It
866. accomplishes this by overwriting a "CLEANING/SCANNER" AutoExec Macro with
867. COLORS empty one, effectively making the AV Scanner/Cleaner useless.  The
868. Cleaner Provided by Microsoft would fall victim to this attack, and
869. subsequently be rendered useless.
870.  
871. COLORS will also enable AutoMacros in case you were smart and disabled
872. them!  It will also disable the MS Word's Prompt to save changes to
873. NORMAL.DOT.
874.  
875. COLORS is crafty, as it can spread without the use of AUTO macros...  thus
876. defeating the DISABLE AUTOMACROS Feature.  It does so via the Macros:
877.  
878.        File/New
879.        File/Save
880.        File/SaveAs
881.        File/Exit
882.        Tools/Macro
883.  
884. COLORS will infect NORMAL.DOT whenever a user chooses any of the above
885. functions.  It also has limited stealth ability, earning it the title of
886. being the first WINWORD STEALTH MACRO VIRUS.  It accomplishes it's stealth
887. actions, by hiding itself from the active listing, since attempting to view
888. active macros would run the COLORS infected Tools/Macro, thus hiding it's
889. own presence while simultaneously infecting your system.  However, deleting
890. these macros is easy, simply use the File/Templates/Organizer/Macros to
891. view the names of virus' macros and delete them.
892.  
893. The COLORS virus will keep track of infections via a counter, named
894. "countersu", which can be found under the [Windows] section of the WIN.INI
895. file.  Whenever an infected macro is executed, the counter is incremented
896. by a count of one.  It quickly adds up, when you consider how much you
897. OPEN, CREATE, SAVE, EXIT, and CLOSE documents.  When the increment counter
898. reaches 299, and every 300th execution thereafter, COLORS will be
899. triggered.  COLORS will then make changes to the system colors setup,
900. including text, background, borders, buttons, etc., using randomly
901. determined colors.  The new color scheme becomes apparent to the user
902. during the next session of Windows.
903.  
904. NOTE: MicroSoft Word for Macintosh is immune to this effect.  In Macintosh
905. Word, infected documents appear with the template icon, rather than the
906. usual document icon, which alerts the user to this infection.  Only Copies
907. of WORD running on a Windows OS or Windows Operating Environments will
908. suffer these effects.  PPC Macs running emulation software that allows
909. Windows and Windows WORD 6.x to run could be hit by this payload. <Does
910. current PPC MAC allow for Windows and Word to be run on it??? >
911.  
912. Colors ability to spread without the use of AutoExecute Macros, and its use
913. of Advanced Stealth techniques signals a new level of MACRO virus
914. technology.  <Hiding itself from view when you actively look for it defines
915. STEALTH in my book, since it evades detection> It also adds fuel to the VxD
916. argument, as an on access scanner could prevent infection by this type of
917. stealthy virus.  NOTE: Check SUGGESTED SOFTWARE section for AV developers
918. with VxD scanners
919.  
920. F-Prot Users should note that F-PROT Professional 2.20 is not able to
921. detect the Colors macro virus, but you can detect it manually by following
922. the same method used in the CONCEPT section of this FAQ for Scanning with
923. F-PROT and it's user Defined Strings.  In this Case, use the following 2
924. lines, which are to be added to your USER.DEF file.
925.  
926.        CE WordMacro/Colors
927.        0100066D6163726F730100084175746F45786563
928.  
929.       --------------------------------------------------------------
930.  
931. 4.4: DMV:
932. =========
933.  
934. Commonly known as WordMacro.DMV, DMV is an unremarkable TEST Virus,
935. possibly the first to be created using the WORDBasic Language.  Joel
936. McNamera wrote it in the fall of 1994, as a real time TEST for some MACRO
937. Virus Theories.  The Virus was kept under wraps, and a detailed paper was
938. published.  This TEST virus was only released, as an educational aid, after
939. the CONCEPT virus was discovered.  DMV isn't a threat to anyone, as it
940. announce itself upon infecting the system.
941.  
942. MAC Word Users can visually detect DMV, since infected documents will
943. appear with the template icon, instead of the usual document icon.
944.  
945. The Writer of DMV is rumored to be playing with some EXCEL Viruses, based
946. on details he published about a virus that would infect MicroSoft EXCEL
947. Spreadsheet Files. <anyone get the feeling 6 months from now I'll be
948. writing an EXCEL MACRO Virus FAQ ??? :) >
949.  
950. [ DOES ANYONE HAVE THE PUBLISHED PAPER? ]
951.  
952.       --------------------------------------------------------------
953.  
954. 4.5: HOT:
955. =========
956.  
957. Also known as WORDMACRO HOT, WinWord.Hot.
958.  
959. Not the most ingenious of the Macro Virus Family, it's biggest kick, is the
960. ability to wait or sleep for awhile <up to 14 days> and then delete a file.
961. WordMacro/Hot appears to be the first Word macro virus written in Russia.
962. It was found in the wild in Russia in January 1996.
963.  
964. Infected documents contain four execute-only macros:
965.  
966.         AutoOpen
967.         DrawBringInFrOut
968.         InsertPBreak
969.         ToolsRepaginat.
970.  
971. MacIntosh Word Users will notice HOT, by examining the icon of the file...
972. infected documents appear with the template icon, normal documents appear
973. with the normal document icon.
974.  
975. NOTE: WordMacro/Hot appears to be the first macro virus to use external
976. functions, allowing Word macros to call any standard Windows API call.
977. This makes the spreading function Windows 3.x specific, preventing Word for
978. MAC and Word 7 for Win '95 from spreading the Virus.  An error dialog will
979. be displayed under Microsoft Word 7.0.
980.  
981.         Unable to load specified library
982.  
983. HOT activates automatically via it's AutoOpen Macro <assuming no attempt to
984. disable AutoMacros has been made> adding a line LIKE...
985.  
986.         QLHot=34512
987.  
988. to Ms Word for Windows 6's WinWord6.INI file, which acts as a counter
989. recorder system, setting a date 14 days in the future for payload
990. activation.
991.  
992. HOT then copies the included macros to the Global Template, NORMAL.DOT
993. usually, revising their names...
994.  
995.         AutoOpen          ==>   StartOfDoc
996.         DrawBringInFrOut  ==>   AutoOpen
997.         InsertPBreak      ==>   InsertPageBreak
998.         ToolsRepaginat    ==>   FileSave
999.  
1000. A listing of the currently loaded macros in this infected environment will
1001. reveal the names in the right list.  Loading another infected document
1002. <actually a template> will add the left list to the macro list plus the
1003. right list.  NOTE:   Macros have been saved with the 'execute-only'
1004. feature, which means  that a user can't view or edit them.
1005.  
1006. A clean <AutoMacros disabled> WORD environment will produce the left list
1007. when viewing an infected document.
1008.  
1009. HOT's FileSave macro cause the virus to randomly decide within 1-6 days
1010. from the infection date to activate whenever an effort to open files is
1011. made.  Upon activation, a document will have it's contents deleted, by
1012. opening it, slecting the entire contents, delting them, and closing the
1013. document, saving it in it's now empty state.
1014.  
1015. Users with c:\DOS\EGA5.CPI should be protected from this macro, as the
1016. author included a check for this file as a protective measure, noted in the
1017. source code as follows:
1018.  
1019.   '---------------------------------------------------------------
1020.   '- Main danger section: if TodayNo=(QLHotDateNo + RndDateNo) ---
1021.   '- and if File C:DOSega5.cpi not exist (not for OUR friends) ---
1022.   '---------------------------------------------------------------
1023.  
1024. HOT's InsertPBreak Macro inserts a page-break in current documents, which
1025. is used as a sign of a document already being infection by HOT.
1026.  
1027. NOTE:  WordMacro/Hot relies on the existence of KERNEL.EXE
1028.  
1029. To clean existing in memory infected macros, use the TOOLS/MACROS/DELETE
1030. function to delete all infected macros.  Do the same for Document you find
1031. that are infected, by doing so from a session of word with AutoMacros
1032. Disabled, and using the Tools/Macros/Delete function.
1033.  
1034. NOTE: Use of the TOOL/MACRO command can be dangerous.  Some viruses subvert
1035. this command.  Use with caution.  Use AV software to find and delete
1036. infected macros.
1037.  
1038. SOPHOS SWEEP Users can add detection NOW to their scanner with the line...
1039.  
1040.         Winword/Hot   a186 9dad 889d 8ca7 86cd e58e 0369 ec8e ee69 ec8e
1041.         e868 ecef
1042.  
1043. <the above 2 lines are to be entered as one line> by adding the line to
1044.  SWEEP.PAT, then scanning in FULL MODE <-f>
1045.  
1046.       --------------------------------------------------------------
1047.  
1048. 4.6: MS WORD 2/MS WORD 6.x MACRO TROJAN WEIDEROFFEN:
1049. ====================================================
1050.  
1051. This is a new MACRO Trojan, <that's been around for 2 years> that goes by
1052. the alias WinWord.Weideroffnen.  It is technically a WinWord 2 infected
1053. document, that works eqwually well under MS WORD 6.x.  It intercepts
1054. AutoClose, and attempts to play tricks with boot-up file AUTOEXEC.BAT.  It
1055. is rumored to exist in Germany, known locally in Germany as "Weideroffen
1056. Macro Virus" No other information is available at this time, other than the
1057. post by Graham Cluley, which states...
1058.  
1059.        "Dr Solomon's FindVirus has been detecting this virus for a while (I
1060.        think we call it WinWord.Weideroffnen).  Our WinGuard VxD can also
1061.        intercept documents infected with it thus stopping an outbreak dead
1062.        in its tracks"
1063.  
1064. Since it basically goes after AUTOEXEC.BAT, Mac users have nothing to fear
1065. from this trojan macro.  PC users on the otherhand... :)
1066.  
1067. Please have mercy on us Graham <Graham.Cluley@uk.drsolomon.com>, and
1068. provide some more info... :)
1069.  
1070.       --------------------------------------------------------------
1071.  
1072. 4.7: AMI PRO 3.0 MACRO VIRUS GREEN STRIPE
1073. =========================================
1074.  
1075. NOTE: THIS IS NOT AN MS WORD MACRO VIRUS!  IT IS INCLUDED IN THIS FAQ FOR
1076. THE PURPOSE OF HELPING THE PUBLIC.  THIS FAQ IS PRIMARILY WORD MACRO BASED,
1077. BUT MAY BE ALTERED IN THE FUTURE, IF MACRO VIRUSES APPEAR IN INCREASING
1078. NUMBERS FOR OTHER MAJOR PROGRAMS, LIKE EXCEL, AMIPRO, ETC.
1079.  
1080. Also known as AMIMACRO GREENSTRIPE.  The name of this virus comes from it's
1081. main macro procedure, called Green_Stripe_virus.
1082.  
1083. Quite possibly the first Macro Virus to hit the AMI PRO 3.0 Word Processor,
1084. GREEN STRIPE, was first reported to Computer Weekly, by those who first
1085. detected it Reflex Magnetics.  <reported to A.C.V by David Phillips
1086. (D.Phillips@open.ac.uk) >  Reflex Magnetics is reported to has a program
1087. able to detect this virus available on their WEB sites by the time you read
1088. this.
1089.  
1090. Ami Pro Macros are somewhat different than their WORD equivalents, as an
1091. AMI PRO MACRO is a totally separate file, whereas WORD Macro viruses turn
1092. documents into combination files, part data, part macro.  The Ami Pro
1093. macros are stored in a separate file, with the SMM extension.  This makes
1094. it difficult to spread an AMI PRO virus, as it is likely to not get copied
1095. with the normal document, effectively disabling the virus.
1096.  
1097. Ami Pro's File/Save and File/Save As commands are intercepted by Green
1098. Stripe, and used to infect all documents in comes in contact with.  You
1099. could say that GREEN STRIP is the first COMPANION MACRO VIRUS, as it
1100. doesn't even touch the original document.
1101.  
1102. NOTE: Using File/Save As and saving an infected document to a network drive
1103. or a floppy is the only likely way this virus will spread from a machine to
1104. another.
1105.  
1106. When an infected document is loaded, it has a link to an AMI PRO auto-macro
1107. file of the same name <as the document> but different extension.  This
1108. macro is then executed, and attempts to open ALL other documents in the
1109. same directory <to infect them>  This is apparent to the user, as they can
1110. see this happening on the screen!  It is reported to do a Search and
1111. Replace on SAVE, searching and replacing all occurances of "Its" with "
1112. It's".  Reportedly, this fails to work properly.
1113.  
1114. GREEN STRIPE was first Published in Mark Ludwigs virus writing newsletter,
1115. this virus makes itself obvious to the user, since it attempts to infect
1116. all files found in AMI PRO 3.0 Document Directory, during the initial
1117. infection process which  takes a long time, and the user is likely to
1118. notice that something is going on,.
1119.  
1120. NOTE: Removal of AMI PRO 3.0 infected macros is simple, just delete the
1121. macro from the directory.  To see if a Macro has been attached to a
1122. document, simply open the Tools/Macros/Edit menu and check whether the
1123. document has a .SMM macro file assigned to be executed on open.  If you
1124. find one, delete it <unless YOU created a legitimate macro>
1125.  
1126. Documents and Macros in AMI PRO are ASCII files, making viewing and
1127. detection of infected macros easy using any other program other than AMI
1128. PRO.  This virus is difficult to spread, as the path to the Macro is
1129. hard-coded, preventing the macro from spreading if programs other than AMI
1130. PRO are used to move it about.
1131.  
1132. Thanks to Vesselin Bontchev <bontchev@complex.is> and Dr David Aubrey-Jones
1133. <davidj@reflexd.demon.co.uk> for detailing this virus.
1134.  
1135.       --------------------------------------------------------------
1136.  
1137. 4.8  WORDMACRO ATOM / ATOMIC
1138. =============================
1139.  
1140. This is a new Macro Virus, found in February 1996, which works along the
1141. same general ideas as the original Concept virus. The WordMacro/Atom virus
1142. is not known to be in the wild.
1143.  
1144. The differences, when compared to the Concept Virus, follows:
1145.  
1146.        - All the macros in this virus have been marked EXECUTE ONLY,
1147.          making them encrypted
1148.        - Replication occures both during file openings, and file saves.
1149.        - Atom comes with 2 destructive payloads
1150.  
1151. On December 13th, it's first point of activation occures.  It will attempt
1152. to delete all files in the current file directory.
1153.  
1154. The second activation, password protects documents, restricting the users
1155. access to their own documents.  This happens when the system clock seconds
1156. counter equals 13, and a File/Save As command is issued.  The passowrd
1157. assigned to the documents is ATOM#1.
1158.  
1159. If the user disables AUTOMACROS, Atom will be unable to execute and spread
1160. to other documents.  Enabling the Prompt To Save NORMAL.DOT will prevent
1161. Atom from attacking and infecting the NORMAL.DOT file.
1162.  
1163.       --------------------------------------------------------------
1164.  
1165. 4.9  FORMATC MACRO TROJAN
1166. ==========================
1167.  
1168. Also known as WORDMACRO.FORMATC, and FORMAT.C.Macro.Trojan
1169.  
1170. The FORMATC Macro Virus, isn't ieven a virus, as it DOES NOT SPREAD.  This
1171. makes it another MACRO TROJAN.  This Trojan contains only one macro,
1172. AutoOpen, which will be executed automatically when a document is opened.
1173. The Macro AutoOpen, is READ ONLY, making it encrypted, and unreadable and
1174. editable.  It is visiable in the Macro List.
1175.  
1176. When FORMATC is executed, "triggered", it will  run a dos session, in a
1177. minimized DOS box.  It will run an Unconditional Format of the C drive.
1178.  
1179. NOTE:  Get your hands on some up to date scanners, and pre-screen all
1180. documents.  Also acquire some AV VxD's, as they should prevent the Trojan
1181. from wiping your drive clean.
1182.  
1183. Thanks to Symantec for providng the info on this trojan.
1184.  
1185.       --------------------------------------------------------------
1186.  
1187. TOPIC 5:  STRATEGY FOR CLEANING AND PREVENTING WORD MACRO INFECTIONS:
1188. =====================================================================
1189.  
1190. The best Strategy for dealing with this new VIRUS Menace, is to acquire at
1191. least one, maybe even a couple decent Anti-Virus products.  This is a good
1192. idea whether you are dealing with classic viruses, or this new MS WORD
1193. MACRO family of viruses.  If you have some of the popular virus scanners,
1194. you can add macro virus signature definitions to them from the previous
1195. sections of this FAQ, or acquire updated copies of your favorite AV
1196. programs, which should have them built in.
1197.  
1198. Some products are now including Windows Mode VxD Virtual On-access
1199. Scanners, that run co-operatively with Windows. <insert bad joke about
1200. windows reliability here :) > These VxD's tend to have the same
1201. capabilities as the classic scanners.  Others that don't yet include VxD's
1202. are also worth acquiring, as the command-line scanners are some of the best
1203. in the industry.  Most of the Virus Scanners Listed in the SUGGESTED
1204. SOFTWARE area of this FAQ will in the worst case detect known MACRO
1205. Viruses, and at best, clean existing infections, and prevent future
1206. infections by MACRO viruses.
1207.  
1208. The Following AV products now include an option to Scan for Word Macro
1209. viruses, Including F-PROT, TBAV, AVP, AVTK, SOPHOS SWEEP, McAFEE, and
1210. others.  Fans of ChekMate will be glad to hear about CkekMate.DOC, part of
1211. the CHECKMATE 2.00 Generic Anti-Vitus Package, which will detect and
1212. prevent Macro infections.
1213.  
1214. Learning to scan documents as well as program files will now be necessary
1215. to maintain a clean system environment.  So, keeping these new viruses out
1216. of your system isn't really any harder than keeping standard viruses out.
1217. Most of these products are listed in the SUGGESTED SOFTWARE area of this
1218. FAQ.
1219.  
1220. A file, SCAN831.zip, common on various AV FTP Sites on the internet, can
1221. deal with the WORD.Concept <Prank> virus.  Unzipping it into the Winword
1222. directory, and opening the included document SCAN831.DOC, will check your
1223. documents for the presence of Concept.  NOTE: This is only a solution for
1224. preventing/removing Concept Infections.  Also, Windows '95 users will need
1225. to dump the contents of their Start Menu document menu, and remove desktop
1226. shortcuts before using this solution.  NOTE: This `fix' distributed by
1227. Microsoft isn't complete - there are ways to open documents (like from the
1228. recently used files list) that don't trigger the protection macros.
1229.  
1230. Fans of Symantec can download a free copy of REPAIR.ZIP, which contains
1231. virus definition files for the macro viruses. You can use REPAIR.ZIP with
1232. either NAV 95 or NAV 3.0.  NOTE: To detect the MS Word macro viruses, scan
1233. your hard drive from DOS only; either version of NAV will not detect them
1234. from within Windows.
1235.  
1236. Disinfectant For the MAC, although a great AV product, doesn't generally
1237. address macro viruses or hypercard infectors. <At least it didn't the last
1238. time I played with a MAC :) >  Disinfectant does not deal with non-machine
1239. code viruses, so no update is needed.  Mac users will want to contact some
1240. of the AV producers listed below, as many of them are now offering MAC AV
1241. solutions which DO deal with MS WORD MACRO VIRUSES. Some of the Word macro
1242. viruses will work at least in part on a MAC, Dr Solomon's Anti-Virus
1243. Toolkit for Macintosh will detect such infections, and will detect PC Boot
1244. Sector Viruses.  Mac Users will have one advantage fighting and finding
1245. WORD MACRO VIRUSES, since MAC displays the icon of the data files, users
1246. will notice that infected documents appear with the template icon, rather
1247. than the usual document icon.
1248.  
1249. A Good Back-Up routine is also a sensible addition to any AV strategy.  No
1250. AV product is perfect, especially against new and unknown Viruses <unless
1251. you are ZVI NETIZ, his AV products catch 100% of all viruses, including the
1252. cold viruses you've suffered with this winter! Unfortunately ZVI's product
1253. will delete all copies of your SOFIA files :) >
1254.  
1255. It is often preferable to replace infected files with clean uninfected
1256. copies, regardless of format, than to execute a "cleansed" file, that may
1257. be corrupt, or at least unstable.  This is good advice for standard
1258. executables.. but MS WORD docs can be cleaned most of the time simply by
1259. removing the infected macros, and saving the file as a NORMAL Document!
1260.  
1261.                     Personal MACRO VIRUSES PREVENTION...
1262.  
1263. For those of you who would rather deal with the MACRO problem yourself,
1264. without using one of the recommended products, there are a few things you
1265. can do to add an extra measure of security <although it is really a false
1266. sense of security...>
1267.  
1268. Disabling of AutoOpen Macros is possible by invoking the Word system Macro
1269. DisableAutoMacros.  An once of prevention equals a pound of cure. :) NOTE:
1270. this can be disabled by some Macro viruses. :(
1271.  
1272. The Manual for WORD for Windows says you can also do this from the command
1273. line, by executing WORD with the following command...
1274.  
1275.        WINWORD.EXE /mDisableAutoMacros
1276.  
1277. However, due to a Flaw, Feature, or Bug <Gotta Love MS> this doesn't appear
1278. to work!  Thanks MS! :(
1279.  
1280. The Manual also states that holding <SHIFT> while opening documents will
1281. prevent any AutoExecute type macros from running, but this suggestion also
1282. doesn't appear to work!  Thanks Again MS! :(
1283.  
1284. Or better yet, you could create your own AutoExec Macro, it isn't hard,
1285. simply select the TOOLS Menu, hit the MACRO command, and create a new macro
1286. call "AutoExec".  Alter line 3 as you see fit...
1287.  
1288.        Sub Main
1289.          DisableAutoMacros
1290.          MsgBox "MS WORD AutoMacros Disabled.", "Some Protection!", 64
1291.        End Sub
1292.  
1293. or...
1294.  
1295.        Sub Main
1296.          DisableAutoMacros
1297.          MsgBox "MS WORD AutoMacros Disabled!", 0
1298.        End Sub
1299.  
1300. The second macro should display the message in the status line. <I hope>
1301. :)
1302.  
1303. NOTE: Use of the TOOL/MACRO command can be dangerous.  Some viruses subvert
1304. this command.  Use with caution.  Use AV software to find and delete
1305. infected macros.
1306.  
1307. This method will effectively prevent CONCEPT, HOT, DMV, and NUCLEAR word
1308. macro viruses from infecting the WORD environment, by fooling these 3
1309. viruses into thinking they've already infected your system.  It also
1310. Disables AutoMacros, which will help with some Macro infectors.  This is a
1311. temporary fix, as WORD gives priority to macros in documents over system
1312. macros.  <MS will need to ship an update to WORD for all platforms that
1313. will give control back to the users.  Can you all say WORD '99? >
1314.  
1315. All legitimate owners of copies of MS WORD should CALL MICROSOFT Support
1316. staff, and let them know you want an updated copy WORD.  Let them know you
1317. want the BUGS FIXED.  It's your right!  Call Microsoft Product Support
1318. Services at 206-462-9673 for Word for Windows, or send an Internet e-mail
1319. message to wordinfo@microsoft.com <wonder if we could cause a class action
1320. suit....>
1321.  
1322. Another option is to check the TOOLS/OPTION Menu and set it to prompt
1323. before saving NORMAL.DOT.  Setting the File Attributes of the file to
1324. read-only may help, but anyone going to the effort of writing a Macro Virus
1325. can easily disable that attribute. <and if you've read this FAQ, you also
1326. know that some macro viruses can enable AutoMacros even if you specifically
1327. disable them! :( >
1328.  
1329. NOTE: Use of the TOOL/MACRO command can be dangerous.  Some viruses subvert
1330. this command.  Use with caution.  Use AV software to find and delete
1331. infected macros.
1332.  
1333. AMI PRO 3.0 Users, who want to clean their system of infected AMI PRO 3.0
1334. GREEN STRIPE MACROS, need only look in their document directory, and delete
1335. and infected macros <which will have the same names as documents>  Note:
1336. detection of GREEN STRIPE infection is easy, view all macros with a NON-AMI
1337. PRO viewer, like DOS edit.  Find infected macros, and delete them.  that's
1338. it!.
1339.  
1340.               SOFTWARE ALTERNATIVES TO USING WINWORD.EXE...
1341.  
1342. At the time of this writing, it was mentioned to me that MicroSoft had
1343. released a WORD Document Viewer, that does not execute Macros, that could
1344. be used in place of WORD for the purpose of viewing Documents while
1345. on-line.  MSN or it's affiliated BBS services should have the file
1346. available for download.  Also, a number of Shareware and Freeware shells
1347. can directly view WORD documents, without executing macros.  Eric Phelps
1348. has noted that an updated version of the WordViewer is now available.  The
1349. new WordView 7.1 free viewing utility from Microsoft now runs some Word
1350. macros!!   If you want to view documents without the abiltiy to run macros,
1351. then stick to versions of WordView previous to version 7.1
1352.  
1353. Users of NETSCAPE 2 who fear virus infection by macro viruses while onl the
1354. WWW, can now acquire Inso's new Word Plug-In Viewer (Inso wrote the Quick
1355. View utility in Win95).  Inso's URL is:
1356.  
1357.         http://www.inso.com/
1358.  
1359. and there is a link to download the Word Plug-In Viewer on the opening
1360. page.
1361.  
1362. If you need additional information, call Microsoft Product Support Services
1363. at 206-462-9673 for Word for Windows, or 206-635-7200 for Word for the
1364. Macintosh, or send an Internet e-mail message to wordinfo@microsoft.com
1365.  
1366.       --------------------------------------------------------------
1367.  
1368. TOPIC 6: SUGGESTED SOFTWARE:
1369. ============================
1370.  
1371.    PRODUCTS THAT CAN DETECT/CLEAN WINWORD VIRUSES INFECTIONS IN DOCUMENTS
1372.  
1373. MICROSOFT
1374.        Available on MicroSoft Download Services...
1375.        WD1215.EXE   51078      10-10-95        WD1215.EXE Macro Virus
1376.                                                Protection Tool
1377.        MW1222.HQX   83729      11-09-95        MW1222.HQX Macro Virus
1378.                                                Protection Tool for
1379.                                                Mac Word 6.0
1380.        SCANPROT.EXE 29996      01-02-96        SCANPROT.EXE Word pour
1381.                                                Windows, "Prank Macro"
1382.                                                Protection Template (for
1383.                                                french Word)
1384.  
1385.        Available at WWW.MICROSOFT.COM or WWW.MSN.COM...
1386.        A self-extracting archive, MVTOOL10.EXE, being distributed by
1387.        Microsoft.  It is an way to protect yourself against the Concept
1388.        virus, as well as to warn you against document files that contain
1389.        macros without your knowledge.  It will create these files:
1390.                README.DOC      36864  10-02-95  1:08p
1391.                SCANPROT.DOT    49152  10-02-95  3:44p
1392.        Enter Word and read the README.DOC to see if this package is
1393.        suitable for your environment.
1394.  
1395.                        ============================
1396.  
1397. DR SOLOMON'S ANTI-VIRUS TOOLKIT
1398.        -FindVirus can Detect & Clean Macro Viruses, scanning recursively
1399.         inside compressed and archived files (ZIP, LZH, ARJ, ARC, etc)
1400.         without writing to the hard disk. WinGuard  VxD on-access
1401.         scanner can prevent future infections. (available for DOS, Win 3.x,
1402.         Win 95, Win NT, OS/2, Novell NetWare, Unix, and soon Apple Mac)
1403.                Web: http://www.drsolomon.com
1404.                USA Tel: +1 617-273-7400
1405.                CompuServe:     GO DRSOLOMON
1406.                UK Support:     support@uk.drsolomon.com
1407.                UK Tel:         +44 (0)1296 318700
1408.                US Support:     support@us.drsolomon.com
1409.                USA Tel:        +1 617-273-7400
1410.  
1411.                Canadian Representative:
1412.                SSS-Sensible Security Solutions Inc.
1413.                Tel. 613-623-6966
1414.                Fax. 613-623-3992
1415.                e-mail: secure-1@magi.com
1416.                * Editors of 'Virus News' and on-line Security Alerts
1417.  
1418.                        ============================
1419.  
1420. AVP & AVPLITE
1421.        -Detects & Cleans Macro Viruses Infections.
1422.                USA: Central Command Inc. <AVP>
1423.                P.O. Box 856 Brunswick, Ohio 44212
1424.                Phone: 216-273-2820
1425.                FAX  : 216-273-2820
1426.                Support: support@command-hq.com
1427.                Sales: sales@command-hq.com
1428.                FTP: ftp.command-hq.com  /pub/command/avp
1429.                WWW: http://www.command-hq.com/command
1430.                                [not operational yet]
1431.                Compuserve: GO AVPRO
1432.  
1433.                        ============================
1434.  
1435. F-PROT
1436.        -Currently Only Detects Known WINWORD Macro Viruses, Cannot
1437.         clean in Macro infections.  Macro Virus Clean will be added
1438.         shortly.
1439.                Frisk Software International
1440.                Postholf 7180
1441.                IS-127 Reykjavik
1442.                Iceland
1443.                Fax: +354-5617274
1444.                Email: sales@complex.is
1445.  
1446.                [North America, South America, Australia and New Zealand]
1447.                Command Software Systems Inc.
1448.                Tel: +1-407-575 3200
1449.                Fax: +1-407-575 3026
1450.  
1451.                [Canada]
1452.                DOLFIN Developments
1453.                Tel: +1-905-829-4344
1454.                Fax: +1-905-829-4380
1455.  
1456.                [Most of Europe, Africa, Middle and Far East:]
1457.                Data Fellows Ltd
1458.                Paivantaite 8
1459.                FIN-02210 ESPOO
1460.                FINLAND
1461.                Tel: +358-0-478 444
1462.                Fax: +358-0-478 44 599
1463.                E-mail: F-PROT@DataFellows.com
1464.                WWW: http://www.DataFellows.com/
1465.  
1466.                        ============================
1467.  
1468. VIRUSCAN
1469.        -Currently Only Detects Macro Viruses, but will soon add it's
1470.         own internal Cleaners to the software.  In the meantime, McAfee
1471.         included MicroSoft's MVTOOL10.EXE WinWord.Concept Cleaner with
1472.         their product.
1473.                McAfee
1474.                2710 Walsh Avenue
1475.                Santa Clara, California
1476.                95051-0963 USA
1477.                For questions, orders and problems call
1478.                (M-F, 6:00AM - 5:00PM PST): (408) 988-3832  Business
1479.                For Faxes (24 hour, Group III FAX): (408) 970-9727  FAX
1480.                Bulletin Board System
1481.                (24 hour US Robotics HST DS):  (408) 988-4004
1482.                Internet Email:  support@mcafee.com
1483.                Internet FTP:  ftp.mcafee.com
1484.                WWW:  http://www.mcafee.com
1485.                America On-line:  MCAFEE
1486.                CompuServe:  GO MCAFEE
1487.                The Microsoft Network:  GO MCAFEE
1488.  
1489.                        ============================
1490.  
1491. THUNDERBYTE
1492.        -Detects Currently Existing Word Macro Viruses
1493.                ThunderBYTE International Affiliates
1494.                ESaSS B.V.-ThunderBYTE International
1495.                P.O. Box 1380
1496.                6501 BJ Nijmegen
1497.                The Netherlands
1498.                Phone: +31 (0)8894 - 22282
1499.                Fax:   +31 (0)8894 - 50899
1500.  
1501.                TCT-ThunderBYTE Corporation
1502.                49 Main St., Suite 300
1503.                Massena, N.Y. 13662
1504.                USA
1505.                Toll-Free: 1-800-667-8228
1506.                Phone:     (315) 764 1616
1507.                Fax:       (613) 936 8429
1508.  
1509.                TCT-ThunderBYTE Inc.
1510.                3304 Second St. E., P.O. Box 672
1511.                Cornwall, Ont. K6H 5T5
1512.                Canada
1513.                Toll-Free: 1-800-667-TBAV
1514.                Phone:     (613) - 930 4444
1515.                Fax:       (613) - 936 8429
1516.  
1517.                        ============================
1518.  
1519. INTEGRITY MASTER
1520.        -Detection of Macro Viruses + Integrity Checking in one package
1521.                Stiller Research
1522.                2625 Ridgeway St.
1523.                Tallahassee, FL. 32310-5169
1524.                U.S.A.
1525.                Email: 72571.3352@compuserve.com
1526.                PHSH44A on Prodigy.
1527.                Stiller on GEnie
1528.  
1529.                        ============================
1530.  
1531. CHEKMATE (2.0)
1532.        -Generic Virus Detection Utility + ChekResQ utility that can remove
1533.         boot sector and partition table viruses both from memory and your
1534.         hard disk. ChekMate, using Generic Techniques avoids the major
1535.         problem of false alarms.  <MS or PC-DOS 3.3 or later, Windows 3.0,
1536.         3.1. 3.11. Workgroups, Windows '95, and Windows NT, as well as OS/2
1537.         2.0, 2.1 and Warp> NOTE: Requires DEBUG.EXE.  Package Includes
1538.         CHEKWORD.DOC, Macros in the GLOBAL template (normally NORMAL.DOT)
1539.         are checked and the user is informed of the number(s), name(s) and
1540.         desriptions of macros in this template.  For your protection, the
1541.         AutoExec and AutoOpen macros are also disabled
1542.         automatically.  Chekword.Doc also scans documents you open.
1543.             Martin Overton (ChekWARE),
1544.             8 Owl Beech Place,
1545.             Horsham,
1546.             West Sussex, RH13 6PQ,
1547.             ENGLAND.
1548.                 FTP at:
1549.                         ftp.coast.net/SimTel/msdos/virus/cm200.zip
1550.                         ftp.demon.co.uk/pub/simtel/msdos/virus/cm200.zip
1551.                         ftp.demon.co.uk/antivirus/ibmpc/av-progs/cm200.zip
1552.                 ftp.gate.net/pub/users/ris1/cm200.zip
1553.  
1554.                 At the World-Wide Web site:
1555.                         http://www.valleynet.com/~joe/avdos.html
1556.                 Email: chekmate@salig.demon.co.uk
1557.  
1558.                        ============================
1559.  
1560. Simtel, the Software Depository, is a great source for Anti-Virus software!
1561. Many AV producers posts updated versions of their software regularly to
1562. SIMTEL.  SIMTEL is a free service, which you can access via Internet.
1563.  
1564. The following list will allow anyone with Internet access to freely access
1565. and obtain Most AV shareware/freeware.  For those of you who cannot FTP to
1566. a Simtel site, do a search for "SIMTEL" with a decent search engine like
1567. YAHOO or WEB CRAWLER, and you'll see SIMTEL listed.
1568.  
1569. SimTel's primary mirror site is ftp.Coast.NET (205.137.48.28) located in
1570. Detroit, Michigan, and there the programs may be found in the directory
1571. /SimTel/msdos/virus.
1572.  
1573. Secondary SimTel mirror sites in the US include:
1574.  
1575.        Concord, CA        ftp.cdrom.com          192.216.191.11
1576.        Urbana, IL         uiarchive.cso.uiuc.edu 128.174.5.14
1577.        Rochester, MI      OAK.Oakland.Edu        141.210.10.117
1578.        St. Louis, MO      wuarchive.wustl.edu    128.252.135.4
1579.        Norman, OK         ftp.uoknor.edu         129.15.2.20
1580.        Corvallis, OR      ftp.orst.edu           128.193.4.2
1581.        Salt Lake City, UT ftp.pht.com            198.60.59.5
1582.  
1583. Users outside the US should in general select the "closest" mirror site
1584. from the list below:
1585.  
1586.        Australia          archie.au              139.130.23.2
1587.        Brazil             ftp.unicamp.br         143.106.10.54
1588.        China              ftp.pku.edu.cn         162.105.129.30
1589.        Czech Republic     pub.vse.cz             146.102.16.9
1590.        England            micros.hensa.ac.uk     194.80.32.51
1591.                           src.doc.ic.ac.uk       155.198.1.40
1592.                           ftp.demon.co.uk        158.152.1.44
1593.        France             ftp.ibp.fr             132.227.60.2
1594.        Germany            ftp.ruhr-uni-bochum.de 134.147.32.42
1595.                           ftp.tu-chemnitz.de     134.109.2.13
1596.                           ftp.uni-mainz.de       134.93.8.129
1597.                           ftp.uni-paderborn.de   131.234.10.42
1598.                           ftp.uni-tuebingen.de   134.2.2.60
1599.        Hong Kong          ftp.cs.cuhk.hk         137.189.4.110
1600.                           hkstar.com             202.82.0.48
1601.        Israel             ftp.technion.ac.il     132.68.7.8
1602.        Italy              cnuce-arch.cnr.it      131.114.1.10
1603.        Japan              ftp.saitama-u.ac.jp    133.38.200.1
1604.                           ftp.riken.go.jp        134.160.41.2
1605.        Korea              ftp.kornet.nm.kr       168.126.63.7
1606.                           ftp.nuri.net           203.255.112.4
1607.        Netherlands        ftp.nic.surfnet.nl     192.87.46.3
1608.        New Zealand        ftp.vuw.ac.nz          130.195.2.193
1609.        Poland             ftp.cyf-kr.edu.pl      149.156.1.8
1610.                           ftp.icm.edu.pl         148.81.209.3
1611.        Portugal           ftp.ua.pt              193.136.80.6
1612.        South Africa       ftp.sun.ac.za          146.232.212.21
1613.        Slovak Republic    ftp.uakom.sk           192.108.131.12
1614.        Slovenia           ftp.arnes.si           193.2.1.72
1615.        Sweden             ftp.sunet.se           130.238.127.3
1616.        Switzerland        ftp.switch.ch          130.59.1.40
1617.        Taiwan             nctuccca.edu.tw        140.111.1.10
1618.        Thailand           ftp.nectec.or.th       192.150.251.33
1619.        Turkey             ftp.metu.edu.tr        144.122.1.101
1620.  
1621.       --------------------------------------------------------------
1622.  
1623. TOPIC 7: CREDITS & THANKS:
1624. ==========================
1625.  
1626. I would like to extend my appreciation and thanks to all those who provided
1627. info to me on this matter.  Most of the Anti-Virus producers were extremely
1628. helpful in the production of this much needed FAQ for ALT.COMP.VIRUS.
1629. Special Thanks goes to Bruce Burrell <bpb@us.itd.umich.edu> for reminding
1630. me to DOT my "i"'s and cross my "t"'s.
1631.  
1632.                              ACKNOWLEDGMENTS
1633.  
1634. I would like to thank the following individuals who have helped and
1635. contributed to this document:
1636.  
1637. Graham Cluley <gcluley@uk.drsolomon.com>, Senior Technology Consultant, Dr
1638. Solomon's Anti-Virus Toolkit.
1639.  
1640. Dr Alan Solomon <drsolly@ibmpcug.co.uk, drsolly@chartridge.win-uk.net>,
1641. Chief Designer of Dr Solomon's Anti Virus Toolkit, S&S International.
1642.  
1643. Vesselin Vladimirov Bontchev <bontchev@complex.is>, FRISK Software
1644. International.
1645.  
1646. Wolfgang Stiller <72571.3352@compuserve.com>, Stiller Research
1647.  
1648. Keith A. Peer <keith@command-hq.com>, Central Command Inc. <AVP>
1649.  
1650. Sarah Gordon, <sgordon@commandcom.com>, Command Software System's F-PROT
1651. Professional Support.
1652.  
1653. Paul Kerrigan, <pkerrign@iol.ie>
1654.  
1655. Paul Ducklin <duck@sophos.com>, and SOPHOS <www@sophos.com> for providing
1656. early info and the detection string for this new macro virus.
1657.  
1658. David Harley <harley@icrf.icnet.uk>
1659.  
1660. David Phillips (D.Phillips@open.ac.uk)
1661.  
1662. Dr David Aubrey-Jones <davidj@reflexd.demon.co.uk> of REFLEX MAGNETICS
1663.  
1664. Martin Overton <chekmate@salig.demon.co.uk> and Ed Fenton
1665. <ris@transit.nyser.net>
1666.  
1667.       --------------------------------------------------------------
1668.  
1669. TOPIC 8: FAQ DISTRIBUTION INFORMATION:
1670. ======================================
1671.  
1672. Any distribution of this FAQ is subject to the following restrictions:
1673.  
1674. This FAQ may be posted to any USENET newsgroup, on-line service, or BBS as
1675. long as it is posted in its entirety and includes this copyright statement.
1676. This FAQ may not be distributed for financial gain.  This FAQ may be made
1677. freely available and posted on FTP, WWW, and BBS sites, Newsgroups and
1678. Networks, as well as included within software packages and AV products, and
1679. on CD-ROMs containing other FAQ's/shareware/freeware programs, such as the
1680. SIMTEL and GARBO collection CD-ROMs, as long as this FAQ is always
1681. distributed complete and without modifications, and proper credits are
1682. given to the author.
1683.  
1684. Mass distribution of this FAQ in magazines, newspapers or books requires
1685. approval from the author, Richard John Martin.
1686.  
1687.        Email Bd326@Torfree.Net for FREE APPROVAL.
1688.  
1689. NOTE: I, the AUTHOR, will re-post copies of this FAQ to ALT.COMP.VIRUS
1690. every one-two weeks.  <or more frequently when the need arises>
1691.  
1692. Anyone with additional info, critiques, suggestions, etc. to add to this
1693. FAQ, please send it to Bd326@Torfree.Net
1694.  
1695. Copyright (c) 1995-1996 by Richard John Martin, all rights reserved.
1696.  
1697.       --------------------------------------------------------------
1698.  
1699. TOPIC 9: WHERE CAN I OBTAIN UPDATED COPIES OF THIS FAQ?
1700. =======================================================
1701.  
1702. ChekMate <ChekWare Software> will usually have the most up-to-date copy of
1703. this faq on their Internet Site. <Thanks Guys>  You can find it at...
1704.  
1705.        ftp.gate.net/pub/users/ris1/word.faq
1706.  
1707. or try our own HIGH SPEED DEMONZ WWW homepage.  You will find updated
1708. copies of this FAQ at...
1709.  
1710.        http://learn.senecac.on.ca/~jeashe/hsdemonz.htm
1711.  
1712. as well as other many popular AV sites.  Keep an eye on the Page, as new
1713. things will shortly be added, plus an HTML version of the FAQ is being
1714. prepared.
1715.  
1716. With any luck, things will return to normal around here.  Updated copies of
1717. the FAQ should resume it's former schedule of updates once every 2 weeks.
1718.  
1719. An Updated copy of this FAQ can also be obtained by sending Email to
1720. Bd326@TorFree.Net, with a SUBJECT header of "PLEASE SEND FAQ", which will
1721. result in a return email message that will include an updated copy of this
1722. FAQ.  To be added to an experimental MAILING LIST for updates of this faq,
1723. send EMAIL with the SUBJECT header "ADD TO MAIL LIST".  The MAILING LIST
1724. may be cancelled at anytime.
1725.  
1726. You can also remove yourself from the list, by sending an email with the
1727. SUBJECT header: "REMOVE FROM FAQ MAIL LIST"
1728.  
1729. For those of you who live in Toronto, Ontario, Canada, or don't mind a
1730. call up here to the Great White North, set your modem to 8n1, and call:
1731.  
1732.         VIRUS WATCH BBS         (416)654-3814
1733.  
1734. Simply do a search on the BBS for MACRO and you see updated copies of
1735. the FAQ listed.  The file will be an ASCII text file, with the name format
1736. of
1737.         WORDMACR.xxx
1738.  
1739. The xxx will refer to the month.  This particular edition is WORDMACR.MAR
1740.  
1741. I'm still looking for BBS's to ARCHIVE this FAQ, so if anyone would like to
1742. ARCHIVE it on their BBS, please let me know.
1743.  
1744.       --------------------------------------------------------------
1745.  
1746. TOPIC 10:  QUESTIONS THAT STILL NEED TO BE ANSWERED...
1747. ======================================================
1748.  
1749. Any help with the following questions would be appreciated.
1750.  
1751. 1:        [ HOW MANY DIFFERENT VERSIONS OF MS WORD HAVE BEEN RELEASED ON
1752.           POPULAR PLATFORMS? ]
1753.  
1754. 2:        [ HOW MANY DIFFERENT NATIONALIZED VERSIONS OF MS WORD HAVE BEEN
1755.           RELEASED? WHICH LANGUAGES? ]
1756.  
1757. 2.1:      [ HOW MANY DIFFERENT NATIONALIZED VERSIONS OF MS WORD FOR MAC
1758.           HAVE BEEN RELEASED? WHICH LANGUAGES? ]
1759.  
1760. 3:        [ WHAT ARE THE NAMES OF MACROS EQUIVALENT TO AUTOOPEN, AUTOCLOSE,
1761.           FILESAVEAS, etc. IN THE NATIONALIZED VERSIONS OF MS WORD? ]
1762.  
1763. 4:        [ DOES MS WORD FOR DOS EXIST? IF SO, WHICH VERSIONS HAVE BEEN
1764.           RELEASED? ]
1765.  
1766. 4.1:      [ DOES IT HAVE A COMPATIBLE MACRO LANGUAGE? ]
1767.  
1768. 5:        [ GENERAL INFO ON MAC WORD INTERFACE, MENUS, MACRO, ETC.??? ]
1769.  
1770. 6:        [ ANY NEW INFO TO ADD? ]
1771.  
1772. 7:        [ LIST ANY PROGRAMS YOU KNOW THAT CAN VIEW WORD 6.x or 7.x
1773.           DOCUMENTS??? ]
1774.  
1775. 8:        [ HOW TO DISABLE AUTOMACROS OR MACROS IN GENERAL UNDER WORD FOR
1776.           MAC? ]
1777.  
1778. 9:        [ IS THE ATARI ST CAPABLE OF RUNNING DOS, WINDOWS, and WORD FOR
1779.           WINDOWS? ]
1780.  
1781. 10:       [ DOS THE AMIGA HAVE A NATIVE MS WORD? ]
1782.  
1783. 11:       [ DOES WINDOWS OLE and DDE ALLOW FOR THE POSSIBILITIES OF
1784.           INFECTING OTHER FILE FORMATS?  ]
1785.  
1786. 12:       [ DOES ANYONE HAVE INFO ON THE "HOT" & "WEIDEROFFEN" VIRUSES? ]
1787.  
1788. Anyone with additional info, critiques, suggestions, etc. to add to this
1789. FAQ, please send it to Bd326@Torfree.Net
1790.  
1791.       --------------------------------------------------------------
1792.  
1793. TOPIC 11: DISCLAIMER
1794. ====================
1795.  
1796. This article is provided as is without any express or implied warranties.
1797. While every effort has been taken to ensure the accuracy of the information
1798. contained in this article, the author assume(s) no responsibility for
1799. errors or omissions, or for damages resulting from the use of the
1800. information contained herein.
1801.  
1802.       --------------------------------------------------------------
1803.  
1804.       This FAQ is Copyright (c) 1996 Richard John Martin, HIGH SPEED
1805.       DEMONZ Anti-Virus Research Labs, Canada.  All rights reserved.
1806.  
1807.     MicroSoft (tm), MicroSoft Windows, MicroSoft Word, MicroSoft EXCEL
1808.      are Copyright (c) 1995-96 MicroSoft Corp.  All rights reserved.
1809.  
1810.       --------------------------------------------------------------
1811.  
1812. --
1813.