home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / MVUPDAT3.ZIP / MACRO_AV.ZIP / MACRO004.TXT < prev    next >
Encoding:
Text File  |  1995-11-26  |  2.4 KB  |  64 lines
  1. WW6MACRO Virus
  2.  
  3. - The Computer Virus That Infects WinWord Documents
  4.   by Eugene V. Kaspersky (24 Aug 1995)
  5.  
  6. A new computer virus has been discovered - the virus infects (but does
  7. not overwrite!) the DOC-files of the WinWord ver.6 format. This virus
  8. has been named as WW6MACRO.
  9.  
  10. The virus uses an absolutely new and unusual infection way. It does not hit
  11. executable (COM, [New] EXE, SYS or BAT) files, it does not overwrite the
  12. system boot sectors. It infects Word Document files.
  13.  
  14. The system gets infected while READING the infected file. To infect the
  15. computer it is necessary to run WinWord ver.6 and open the infected file.
  16. Then the virus infects all newly created DOC files. After sending the newly
  17. created and infected file to another (clear) computer that file can infect
  18. that computer too (while opening in WinWord).
  19.  
  20. Fortunately, this virus does not call any dangerous trigger routine. The
  21. place for that routine contains only the string:
  22.  
  23.     That's enough to prove my point
  24.  
  25. But it is not clear up to now if that virus is free of other "deep" effects
  26. (i.e. is that virus 100% compatible with WinWord or not). Anyway, that virus
  27. is a VERY FAST INFECTOR. DOC files are sent/received more often than
  28. executables.
  29.  
  30. So, be careful with documents!
  31.  
  32. Tech part
  33.  
  34. While opening the Word Document file WinWord executes the internal file
  35. macros. If that document is infected, WinWord executes infected macros,
  36. i.e. the virus code. The virus copies the macros into the Global Macros area,
  37. defines FileSaveAs macro, and then it copies its macros into all the newly
  38. created documents (i.e. documents which are saved with "Save as" command).
  39. The virus also converts the Microsoft Document files into Template format
  40. while saving.
  41.  
  42. On exiting from WinWord the Global Macros are automatically saved into system
  43. DOT-files (NORMAL.DOT or other). So on the next WinWord execution the virus
  44. receives control before reading of the first document, it infects the
  45. environment while loading the Global Macros from the DOT file.
  46.  
  47. The infected files contain the strings:
  48.  
  49.     see if we're already installed
  50.     iWW6IInstance
  51.     AAAZFS
  52.     AAAZAO
  53.     That's enough to prove my point
  54.  
  55. and other.
  56.  
  57. The WINWORD6.INI on infected system contains the file:
  58.     WW6I= 1
  59.     On the first execution of the viruscode (i.e. on the first opening of the
  60.     infected file) the MessageBox with digit "1" appears.
  61.  
  62. Copyright 1995 Eugene V. Kaspersky
  63.  
  64.