home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / MVUPDAT3.ZIP / MACRO_AV.ZIP / MACRO002.TXT < prev    next >
Encoding:
Text File  |  1995-11-26  |  6.3 KB  |  136 lines
  1. Norman Data Defense Systems Addresses
  2.  
  3. Background
  4. The first macro virus was discovered in August, 1995, and since then it
  5. has been  referred to by many different names: Prank virus, Word Prank
  6. Macro, Concept virus,  and WordMacro.Concept virus. The anti-virus
  7. community, including Norman, has  standardized on the name
  8. "WordMacro.Concept".
  9.  
  10. WordMacro.Concept has been getting its fair share of attention, and
  11. rightly so. In the  past, computer viruses have infected executable code
  12. (i.e., either binary files or boot  sectors). WordMacro.Concept,
  13. however, infects non-executable files * document  files. Because
  14. document files are exchanged more often than executable code,
  15. WordMacro.Concept is widespread on the Internet and within
  16. organizations.
  17.  
  18. In theory, it is possible for viruses to be written for any application
  19. that has a built-in  macro programming language. In fact, there is a
  20. macro virus called ExcelMacro.DMV,  designed to demonstrate how simple
  21. it is to construct a macro virus for Microsoft's  Excel application.
  22. This article, however, focuses on macro viruses that infect Microsoft
  23. Word documents.
  24.  
  25. WordMacro.Concept is harmless it does not contain any destructive
  26. code. Some  facts:
  27.  
  28. *       it is platform independent (i.e., it functions in Word 6.x for
  29. Windows 3.x, Word  6.0+ for the Macintosh, Word 7.0 for Windows 95, and
  30. Word 6.0 for Windows  NT.
  31.  
  32. *       the source code is available, and therefore, variants of
  33. WordMacro.Concept will  surely appear.
  34.  
  35. Even though WordMacro.Concept does not do any harm, its rate of
  36. infectiousness due  to the nature of the host (document files) and the
  37. fact that its source code is readily  available to hackers result in it
  38. being a high security risk. Therefore,  WordMacro.Concept and other
  39. macro viruses must be viewed seriously.
  40.  
  41. Other Word Macro Viruses By November, 1995, 4 macro viruses and 1 trojan
  42. macro have been discovered. All are  based on the WordBasic macro
  43. programming language. However, we have reason to  believe that there are
  44. considerably more macro viruses in existence.
  45.  
  46. Half of the known macro viruses function in all national language
  47. versions of Word,  and the other half contain infectious code that only
  48. propagates in English versions  (including UK and Australian) of Word.
  49. Note: Even though some macro viruses do not, for technical reasons,
  50. propagate to  uninfected documents in non-English versions of Word, some
  51. macros may still be  executed in an infected document opened in
  52. non-English versions of Word.  Therefore, it is important to be aware of
  53. macro viruses even if you are running non- English versions of Word.
  54.  
  55. Following are short descriptions of the 4 macro viruses and the trojan
  56. macro:
  57.  
  58. 1.      WordMacro.Concept:
  59. *       See description above. *
  60. Propagates only in English versions of Word.
  61.  
  62. 2.      WordMacro.Nuclear:
  63. *       Contains the following macros:
  64. AutoExec AutoOpen DropSuriv FileExit FilePrint FilePrintDefault
  65. FileSaveAs InsertPayload Payload
  66. *       Contains destructive code.
  67. Under certain circumstances, it will:
  68. 1.      attempt to drop a DOS virus (PH33R)
  69. 2.      overwrite IO.SYS and MSDOS.SYS
  70. 3.      delete COMMAND.COM from the root directory.
  71. 4.      add these text lines at the end of the document being printed:
  72.         "And finally I would like to say: STOP ALL FRENCH NUCLEAR TESTING
  73.         IN THE  PACIFIC!"
  74. *       Is encrypted *
  75. Propagates only in English versions of Word.
  76.  
  77. 3.      WordMacro.DMV:
  78. *       Contains the following macro: AutoClose
  79. *       Does not contain destructive code.
  80. *       Was developed as an example
  81. of how simple it is to create a virus using  WordBasic. *       Source
  82. code is available. *       Propagates in all national language versions
  83. of Word.
  84.  
  85. 4.      WordMacro.Rainbow:
  86. *       Is the most recently reported macro virus.
  87. *       At this time, we are not completely sure of the virus's
  88.         characteristics.
  89. *       It seems to contain code to manipulate the color settings
  90.         (foreground,  background, and borders) in Word.
  91. *       We do not yet know if the virus contains destructive code.
  92. *       Propagates only in English versions of Word.
  93.  
  94. 5.      WordMacro.Trojan.FC:
  95. *       Contains the following macro: AutoOpen
  96. *       Contains destructive code: when an infected document is opened in
  97.         Word, the AutoOpen macro executes, starts a DOS session, and types
  98.         FORMAT C: /U. In addition, when DOS asks if you really want to format
  99.         drive C:, the macro will answer "yes" automatically. Note: If NVC.SYS
  100.         is running, the trojan's attempt to format will be stopped near the
  101.         end of the formatting process. Since this happens in Windows, you
  102.         will hear NVC.SYS's beep (if the beep has not been disabled) as a
  103.         warning,  NVC.SYS will interrupt the format, and your C: drive will
  104.         be intact.
  105. *       Is encrypted. *
  106. Propagates in all national language versions of Word.
  107.  
  108. Consequences As a result of the new open system architechture used in
  109. modern applications, macro  viruses have been able to constitute a new
  110. security threat. Because there are few built- in security mechanisms in
  111. open applications at this time, macro viruses can easily be  spread via
  112. networks, diskettes, external databases, and e-mail. Either there are no
  113. specific limitations in these systems or there are a number of backdoors
  114. that enable  saboteurs to work around them.
  115.  
  116. Macro viruses will have a large impact on:
  117. *       Anti-virus product developers. Macro viruses are a new area for
  118.         R&D to tackle.
  119. *       Security measures in all businesses, government agencies, and private
  120.         households that use computers.
  121.  
  122. Many people have been asking us if there is anything they can do to
  123. protect  themselves. The answer lies in technical countermeasures. You
  124. must either use open  systems and spend money on security measures or
  125. you must use solutions that are less  open. Examples of less open
  126. systems include:
  127. *       denying access to Internet and e-mail
  128. *       denying access to macros in software that contains a macro
  129.         programming language
  130. *       running diskless workstations, and so on
  131.  
  132. In either case, security personnel and management must be made aware of
  133. this new  security threat, and resources must be placed on implementing
  134. countermeasures and on  properly training the user community.
  135.  
  136.