Popisy vir∙

Makroviry

Pokud nenφ jinak uvedeno, informace jsou p°elo₧eny z AVP Virus Encyclopedie (www.avp.ch/avpve).

WM/CAP.A


Tento virus je zajφmav² jak svou stavbou, tak ·pornou snahou Üφ°it se za vÜech okolnostφ a v ka₧dΘm prost°edφ.

Samotn² virus je tvo°en v podstat∞ jedin²m, pom∞rn∞ rozsßhl²m a komplikovan²m makrem, pojmenovan²m CAP (odtud tedy pochßzφ i jmΘno viru). Ostatnφ makra, kterß s sebou virus nosφ, majφ t∞lo bu∩ prßzdnΘ nebo obsahujφ pouze volßnφ funkce z makra CAP.

Virus nejΦast∞ji doprovßzejφ tato modifikovanß makra:
  AutoExec, AutoOpen, AutoClose,FileSave, FileSaveAs,
  FileOpen, FileClose, FileTemplates, ToolsMacro.
Krom∞ toho virus prohledß menu prßv∞ infikovanΘho Wordu a v p°φpad∞ pot°eby (t.j. v p°φpad∞, ₧e vßÜ Word pou₧φvß lokalizovanΘ nßzvy vybran²ch polo₧ek) vytvo°φ dalÜφ makra odpovφdajφcφ t∞mto polo₧kßm. VÜechna virovß makra s vyjφmkou ToolsMacro jsou zakryptovßna a jejich komentß° zaΦφnß znaky F%.

Ke ztφ₧enφ vlastnφho odhalenφ vyu₧φvß CAP vynikajφcφ mo₧nosti modifikovat samotn² Word. Dφky tomu nenφ pro virus obtφ₧nΘ odstranit z menu Nßstroje (Tools) polo₧ky Makro (Macro) a Vlastnφ (Customize). Polo₧ka èablony (Templates) v menu Soubor (File) z∙stßvß, ale je nefunkΦnφ dφky jejφmu p°i°azenφ k prßzdnΘmu makru.

Pom∞rn∞ znaΦnou pΘΦi v∞noval autor takΘ aktivnφ podpo°e Üφ°enφ svΘho dφla. Virus obsahuje p°φkaz, kter² nastavφ (pochopiteln∞ bez vaÜeho v∞domφ) automatickΘ uklßdßnφ dokument∙ ka₧d²ch 10 minut.

Virus je dokonce schopen Üφ°enφ i v p°φpad∞, ₧e pou₧φvßte k p°enosu dokument∙ formßt .RTF (Reach Text Format), kter² nenφ schopen nΘst makra. Funkce ulo₧enφ souboru je toti₧ modifikovßna tak, aby i soubory, kterΘ uklßdßte jako RTF m∞ly internφ strukturu Üablony a mohly tedy obsahovat makra.

CAP neobsahuje ₧ßdnΘ viditelnΘ projevy ani ·myslnou Ükodlivou Φinnost, pomineme-li, ₧e z ka₧dΘho infikovanΘho dokumentu odstranφ vÜechna makra, kterß tam byla p°ed jeho nßstupem.

Virus pochßzφ z Venezuely, co₧ lze usoudit z komentß°e obsa₧enΘho v hlavnφ funkci makra CAP:
  C.A.P: Un virus social.. y ahora digital..
  "j4cKy Qw3rTy" (jqw3rty@hotmail.com).
  Venezuela, Maracay, Dic 1996.
  P.D. Que haces gochito ?
  Nunca seras Simon Bolivar.. Bolsa !

Zdroj: Grisoft software s.r.o. - v²robce antiviru AVG



WM/Concept.A


Je to prvnφ makrovirus (WinWord), kter² se objevil v seznamu "in the wild". Virus obsahuje 5 maker: AAAZAO, AAAZFS, AutoOpen, PayLoad, FileSaveAs. Infikuje soubory p°i jejich uklßdßnφ (FileSaveAs).

V infikovanΘm dokumentu jsou texty:

see if we're already installed
iWW6IInstance
AAAZFS
AAAZAO
That's enough to prove my point
a dalÜφ. Souboru WINWORD6.INI (na infikovanΘm poΦφtaΦi) pak obsahuje:
WW6I=1
P°i prvnφm spuÜt∞nφ viru (p°i prvnφm otev°enφ infikovanΘho souboru) se objevφ v tabulce (MessageBox) s Φφslicφ "1" a tlaΦφtkem OK.

WM/MDMA.A


K≤dovan² makrovirus. Obsahuje jen jedno makro AutoClose a infikuje soubory p°i jejich zavφrßnφ.

Prvnφho dne ka₧dΘho m∞sφce virus nφΦφ soubory a zobrazuje text (v tabulce message box):
MDMA_DMV
You are infected with MDMA_DMV.
Brought to you by MDMA (Many Delinquent Modern Anarchists).
Ve Windows virus ma₧e C:\SHMK soubor a p°episuje C:\AUTOEXEC.BAT s p°φkazy:
@echo off
deltree /y c:
@echo You have just been phucked over by a virus
V²sledkem jsou smazanΘ vÜechny soubory ve vÜech podadresß°φch.

Ve Windows NT virus ma₧e vÜechny soubory v hlavnφm adresß°i stejn∞ jako soubor C:\SHMK.

Na Macintoshi virus ma₧e soubory v systΘmovΘm adresß°i (?).

Pod jin²mi systΘmy (Windows 95) virus ma₧e C:\SHMK soubor a vÜechny soubory *.HLP v adresß°i C:\WINDOWS. Virus nastavuje n∞kterΘ hlavnφ °etezce a ma₧e vÜechny *.CPL soubory v adresß°i C:\WINDOWS\SYSTEM\.

WM/Npad.A


K≤dovan² makrovirus. Obsahuje pouze jedno makro AutoOpen i infikuje globßlnφ Üablonu / dokumenty p°i otevφrßnφ infikovan²m souborem / dokumentem.

Virus vytvß°φ poΦφtadlo v souboru WIN.INI:
[NPad328]
Compatibility=
P°i ka₧dΘ infekci virus zv²Üφ hodnotu poΦφtadla. Kdy₧ dosßhno poΦφtadlo hodnoty 23, virus zobrazφ text v "status baru":
D0EUNPAD94,  v.2.21,  (c)  Maret  1996,  Bandung,  Indonesia
Virus obsahuje text:
D0EUNPAD94, v.2.21, (c) Maret 1996, Bandung, Indonesia
Macro MsWord virus, multiplatform, multi versi

WM/Wazzu


Tento makrovirus obsahuje jenom jedno makro AutoOpen. Infikuje Word dokumenty p°i jejich otevφrßnφ a kopφruje svoje makra do globßlnφ Üablony (NORMAL.DOT), kdy₧ je otev°en infikovan² dokument. Virus nenφ k≤dovßn a m∙₧e b²t snadno dektekovßn p°i hledßnφ textu:
RndWorddo
wazzu do
RndWorddRgV
Po infekci dokumentu, virus vezme nßhodn∞ vybranΘ slovo z dokumentu a umφstφ ho na op∞t nßhodn∞ zvolenou pozici. Toto virus opakuje maximßln∞ 3x v zßvislosti na poΦφtadle. N∞kdy taky vklßdß do dokumentu na nßhodnΘ mφsto °etezec "wazzu" (op∞t v zßvislosti na poΦφtadle).

Virus obsahuje t°i podprogramy v jeho makru:
MAIN 		- hlavnφ rutina, kterß p°evezme kontrolu p°i spuÜt∞nφ AutoOpen makra.
Payload		- tato rutina je volanß hlavnφ rutinou, vym∞≥uje slova a vklßdß °etezec "wazzu".
RndWord		- tato rutina je volßna rutinou Payload. Nastavuje nßhodn∞ vybranou pozici v dokumentu.
Slova zam∞≥uje s pravd∞podobnostφ 1:5 a slovo "wazzu" vklßdß s pravd∞podobnostφ 1:4.
TaktΘ₧ obsahuje text:
< - - - - - - here 's the payload

Zajφmavostφ je, ₧e se tento virus objevil p°φmo na WWW strßnkßch firmy Microsoft (!!!) a tak vzniklo ohromnΘ mno₧stvφ variant.

W97M/Class


Rodina makrovir∙ pro Word 97....

W97M/Class.D
Aktivuje se ΦtrnßctΘho v m∞sφcφch Φerven a₧ prosinec. V tento den vypisuje zprßvu:
I Think (Name of the current user) is a big stupid jerk!
VicodinES Loves You / Class.Poppy

Makrovirus taky n∞kdy zm∞nφ vlastnφka Wordu 97 na "Dr. Diet Mountain Dew".

W97M/Class.B
Makrovirus, kter² se podobß variant∞ Class.D. Zprßva, kterou vypisuje je vÜak mφrn∞ odliÜnß a navφc Class.B nem∞nφ vlastnφka licence.

W97M/Class.Q
Drobn∞ upravenß varianta Class.B.

W97M/ColdApe


Polymorfnφ makrovirus pro Word 97. VypouÜtφ VBScript virus (soubor C:\HAPPY.VBS), kter² napadß dalÜφ VBS soubory. Krom∞ toho odesφlß jednu emailovou zprßvu autorovi viru (zprßva obsahuje IP adresu infikovanΘho souboru) na adresu avm@nym.alias.neta. Druhou emailovou zprßvu odesφlß antivirovΘmu odbornφkovi (tuÜim, ₧e pracoval Φi pracuje ve Virus Bulletinu).

W97M/Ethan.A


Makrovirus infikujφcφ dokumenty Wordu 97 a Üablonu NORMAL.DOT. Obsahuje pouze jedno makro "Document_Close()" v modulu "ThisDocument" (jednß se tedy o virus °ady Class). Makrovirus infikuje dokumenty p°i jejich uzavφrßnφ.

P°i infekci vypφnß makrovirus antivirovou ochranu Wordu a nastavφ automatickΘ uklßdßnφ zm∞n do globßlnφ Üablony (NORMAL.DOT).

Makrovirus hledß soubor ETHAN.___ v hlavnφm adresß°i na disku C:. Pokud tam nenφ, vytvo°φ ho a nakopφruje do n∞j svoje t∞lo (makro). Pokud infikovan² soubor obsahuje dalÜφ makra, nakopφruje je do n∞j taky. Virus pou₧φvß tento soubor k infekci dalÜφch dokument∙ (ulo₧enß makra jsou p°ekopφrovßny do prßv∞ infikovanΘho dokumentu).

Virus nastavuje souboru ETHAN.___ atributy System a Hidden. Virus taky hledß soubor C:\CLASS.SYS (vytvß°φ ho makrovirus W97M/Class.A) a ma₧e ho.

V zßvislosti na generßtoru nßhodn²ch Φφsel virus m∞nφ informace o infikovanΘm dokumentu: nastavuje jeho nßzev na "Ethan Frome", autora na "EW/LN/CB" a popis na "Ethan".

W97M/Ftip


W97M/Ftip je jednoduchouΦk² worm, kter² se rozesφlß na 30 adres z ka₧dΘho adresß°e (tato Φßst k≤du je vykradena z viru W97M/Melissa). ZaslanΘ maily majφ subject "RE:" a text: 
Chtel si ftipy, tak tady je mas!!! ;)))
[ _doplneno_skutecne_jmeno_uzivatele_ ]
---
Odchozφ zprßva neobsahuje viry.
Zkontrolovßno antivirov²m systΘmem AVG (http://www.grisoft.cz).
Verze: 6.0.219 / Virovß bßze: 103 - datum vydßnφ: 5.12.2000

Worm je p°ipojen v souboru ftip.doc.

┌speÜnΘ odeslßnφ mailu si poznaΦφ do registry:
KlφΦ: "HKLM\Software\Microsoft\Windows\CurrentVersion\i0nSt0rm"
Hodnota: "...by gl"

Zdrojßk zaΦφnß komentß°i: 
' W97/2k.i0nSt0rm
' Code by gl_st0rm
Po zav°enφ infikovanΘho dokumentu zobrazφ s 1/3 pravd∞podobnostφ message box s hlaviΦkou:
Err0r! :->
a textem:
W97/2k.i0nSt0rm code by gl_st0rm

Zdroj: Grisoft software s.r.o. - v²robce antiviru AVG



W97M/Marker


Makrovirus pro Word 97. Svoje t∞lo umis¥uje do modulu "ThisDocument". Marker si zapisuje do svΘho t∞la informace o infikovanΘm Wordu 97 (jmΘno u₧ivatele...). Na zaΦßtku ka₧dΘho m∞sφce odeÜle nashromß₧d∞nΘ informace na FTP server (kter² je z°ejm∞ v dneÜnφ dob∞ ji₧ zruÜen²).

W97M/Melissa.A


Relativn∞ jednoduch² makrovirus, kter² se dokß₧e Üφ°it pod Wordem z Office 97 a Office 2000. V prost°edφ Office 97 blokuje p°φstup k polo₧ce Makra v menu Nßstroje a zakß₧e Wordu ptßt se na potvrzenφ konverze dokumentu a ulo₧enφ zm∞n v NORMAL.DOT.
V prost°edφ Office 2000 W97M/Melissa nastavφ antivirovou ochranu (Security level) na nejni₧Üφ mo₧nou hodnotu. "Nejzßbavn∞jÜφ" je schopnost tohoto viru vyu₧φt instalovan² MS Outlook pro rozesφlßnφ infikovan²ch dokument∙. Vytßhne si prvnφch padesßt adres z ka₧dΘho u₧ivatelskΘho adresß°e a odeÜle na n∞ mail se Subjectem:
Important Message From _doplneno_vase_jmeno_
a s tφmto obsahem:
Here is that document you asked for ...
don't show anyone else ;-)
Infikovan² dokument je p°ilo₧en k tΘto zprßv∞. Aby to bylo jeÜt∞ p∙vabn∞jÜφ, tak se W97M/Melissa neobt∞₧uje vytvo°enφm n∞jakΘho novΘho dokumentu, ale poÜle ten, na kterΘm prßv∞ pracujete. Tak₧e vßÜ (mo₧nß celkem soukrom²) dokument vzßp∞tφ obdr₧φ pßr set lidφ. Milß p°edstava, ₧e ?
Jakmile je rozesφlßnφ ukonΦeno, tak si Melissa do registry pro Office nastavφ klφΦ "Melissa?" na hodnotu "... by Kwyjibo" a podle toho p°φÜt∞ poznß, ₧e vaÜe adresy u₧ obhospoda°ila a nemusφ se znovu namßhat.
Pokud p°i zavφrßnφ dokumentu odpovφda datum minut∞, tak W97M/Melissa vlo₧φ do vaÜeho textu odstaveΦek:
Twenty-two points, plus triple-word-score,
plus fifty points for using all my letters.
Game's over.  I'm outta here.
Ve zdrojovΘm textu je jeÜt∞ tento komentß°:
'WORD/Melissa written by Kwyjibo
'Works in both Word 2000 and Word 97
'Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!
'Word -> Email | Word 97 <--> Word 2000 ... it's a new age!

Zdroj: Grisoft software s.r.o. - v²robce antiviru AVG



W97M/Nottice.D


Makrovirus, obsahujφcφ dv∞ makra: AutoOpen, WININIT. Virus infikuje dokumenty p°i otvφrßnφ. 13.prosince vytvo°φ nov² dokument a vlo₧φ do n∞j zprßvu:
IMPORTAT NOTTICE!
HANSSI A. A. IS MARRIED WITH A LOSSER.

W97M/Thus


Makrovirus Üφ°φcφ se v dokumentech Microsoft Wordu 97. Ostatnφ dokumenty napadß p°i t°ech r∙zn²ch udßlostech (otev°enφ, ulo₧enφ a zalo₧enφ dokumentu). Jedinou zajφmavostφ na tomto makroviru je destrukΦnφ Φinnost. Popisovan² makrovirus toti₧ 13. prosince niΦφ vÜechny soubory na disku C.

Zdroj: CHIP CD, VirovΘ novinky

O97M/Tristate


Jednß se o "cross" - makrovirus, kter² infikuje n∞kolik souΦßstφ produktu Microsoft Office 97 - dokumenty Wordu, prezentace PowerPointu a tabulky Excelu. Makrovirus se nijak viditeln∞ neprojevuje.

Makrovirus deaktivuje antivirovou ochranu Excelu a PowerPointu (p°es registry) a ochranu Wordu (pomocφ p°φkazu jazyka VBA).

Makrovirus obsahuje t°i procedury: pro Word - Document_Close(), Excel - Workbook_Deactivate(), PowerPoint - ActionHook(). JednotlivΘ procedury se pak vyvolßvajφ podle toho, pod jak²m produktem jsou spuÜt∞ny.

Makroviry obsahujφ text:
"Tristate.A":  
                   Triplicate v0.1 /1nternal
"Tristate.B":  
                   Triplicate v0.11 /1nternal
"Tristate.C":  
                   Triplicate v0.2 /1nternal
"Tristate.D":  
                   Triplicate v0.21 /1nternal

XM/Laroux.A


Tento makrovirus infikuje excelovskΘ tabulky (XLS soubory). Obsahuje dv∞ makra: auto_open a check_files.
Popisovanß varinta se neprojevuje.

X97M/Laroux.A


Upravenß verze makroviru pro Excel 97.