home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / MVUPDAT3.ZIP / MACRO_AV.ZIP / MACRO006.TXT < prev    next >
Encoding:
Text File  |  1995-11-26  |  3.5 KB  |  76 lines
  1. More on the WinWord.Concept WordBasic Macro Virus
  2. by Paul Ducklin, Sophos, Plc (25 Aug 1995)
  3.  
  4. We assume a default Word installation, with all necessary security holes
  5. open...
  6.  
  7. Overview
  8.  
  9. Infected documents contain a set of viral WordBasic macros, one of which is
  10. automatically invoked by Word when the document is loaded (hole 1).
  11.  
  12. The virus then infects the Word environment by copying its macros into the
  13. global macro environment -- thus effectively "going resident". One of these
  14. viral macros is automatically invoked by Word when a document is saved (hole
  15. 2) and allows the virus to replicate itself into previously clean files when
  16. they are saved.
  17.  
  18. Lastly, when Word exits, it automatically saves any changes to its global
  19. environment (hole 3). This means that the viral macros will automatically be
  20. resident and active during future Word sessions.
  21.  
  22. Detection and Cleaning
  23.  
  24. Start a new document based on the Normal template, then choose Tools/Macro.
  25. If you see (inter alia) the macros AAAZAO, AAAZFS, AutoOpen, PayLoad and
  26. FileSaveAs, then you probably have WinWord.Concept. Delete each of these
  27. macros to clean the current environment. By default, Word will save this
  28. cleaned environment for you when you exit.
  29.  
  30. A document is infected if it contains these same macros. Clean infected files
  31. as above, by going into Tools/Macro and deleting the offending macros. Be sure
  32. to save the cleaned document. Once you have loaded, cleaned and saved an
  33. infected document, three of the viral macros will be left behind in your
  34. global environment. Although they will no longer replicate, you might want to
  35. remove them before exiting Word, to leave your global template totally clean.
  36.  
  37. There is an obvious giveaway of WinWord.Concept's actuation when an infected
  38. document is loaded -- a dialogue box titled "Microsoft Word", containing the
  39. string "1" and an OK button, pops up. Note that this giveaway applies only to
  40. WinWord.Concept; don't rely on it as a generic anti-macro-virus measure!
  41.  
  42. Prevention
  43.  
  44. The Word for Windows manual claims that if you hold down Shift whilst
  45. double-clicking the Word icon in Program Manager, then Word will startup with
  46. file-related "auto-execute" macros disabled. This ought to inhibit the
  47. actuation of WinWord.Concept, which relies on this feature -- though it didn't
  48. work on my machine. Starting up WinWord with the command line "WINWORD.EXE /m"
  49. is supposed to achieve a similar effect, but failed similarly for me.
  50.  
  51. You can also hold down Shift whilst opening a document to disable any
  52. automatic macros in that file -- though this too failed on my PC.
  53.  
  54. A WinWord.Concept-specific fix is to create a macro in your global template
  55. called "PayLoad". If this macro is present, the virus assumes it is already
  56. active and aborts without infecting. Once again, this is not a generic
  57. anti-macro-virus fix.
  58.  
  59. To prevent the transparent permanent modification of your global environment,
  60. go to Tools/Options/Save and switch on "Prompt to save NORMAL.DOT". Malicious
  61. macros could easily change this setting back, of course, but this is a safety
  62. measure which you might as well take.
  63.  
  64. Finally, you might wish to use one of Word's auto-execute macros to your
  65. advantage. Under Tools/Macro, create a macro called AutoExec that looks like
  66. this:
  67.  
  68.     Sub MAIN
  69.         DisableAutoMacros
  70.         MsgBox "AutoMacros off!", "Safety First!", 64
  71.     End Sub
  72.  
  73. This macro is triggered whenever WinWord starts (a serious potential hole!),
  74. and serves to disable the feature which WinWord.Concept uses to actuate.
  75.  
  76.