home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / MVUPDAT3.ZIP / MACRO_AV.ZIP / MACRO007.TXT < prev    next >
Encoding:
Text File  |  1995-11-26  |  2.3 KB  |  50 lines
  1. Winword-Nuclear - Another Word Macro Virus
  2. by Paul Ducklin, Sophos, Plc (14 Sept 1995)
  3.  
  4. Another MS Word macro virus has appeared. It is known by a number of names,
  5. including Winword-Nuclear, Wordmacro-Nuclear and Wordmacro-Alert.
  6.  
  7. Unfortunately, it was first spotted on the Internet in a publicly accessible
  8. area that has been used in the past for the uncontrolled distribution of
  9. viral code. Ironically (and, presumably, by malicious design) this new Word
  10. virus is attached to a Word document which gives information about a previous
  11. Word virus, Winword-Concept.
  12.  
  13. Operation
  14.  
  15. Infected files contain a macro which is usually run when the document is
  16. opened. This macro is not particularly noticeable (unlike the Winword-Concept
  17. virus, which alerts you by popping up a dialogoue box).
  18.  
  19. Once actuated, the virus effectively "goes resident" by adding its infective
  20. macros into your Word environment. It also runs a macro called PayLoad, which
  21. wipes out your DOS system files (IO.SYS, MSDOS.SYS and COMMAND.COM) on the
  22. fifth of April.
  23.  
  24. Now, the viral macros alter the usual behaviour of several Word functions. Any
  25. documented saved via the Save As... menu option will be infected; roughly
  26. every twelfth document printed will have two lines of text added at its end:
  27.  
  28.     And finally I would like to say:
  29.        STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC
  30.  
  31. Also, next time you start up Word, the virus looks at the clock. If it is
  32. between 17h00 and 17h59 (or, as a comment in the virus suggests, "5PM -
  33. approx time before work is finished"), the virus attempts to inject a DOS file
  34. virus named "Ph33r" into your system.
  35.  
  36. Lastly, the virus switches off the menu setting "Tools/Options/ Prompt to save
  37. NORMAL.DOT" every time you close a file. This means you are less likely to
  38. notice Word saving changes that the virus has made to your global environment,
  39. because the dialog box which warns you that this is about to happen no longer
  40. appears.
  41.  
  42. Detection
  43.  
  44. An infected Word environment will contain a number of curiously named macros,
  45. which you can check for in the Tools/Macro menu. Some of the obvious giveaway
  46. names to look for on a machine infected with Winword-Nuclear are: DropSuriv
  47. (this is the routine which tries to inject the DOS virus -- "suriv" is "virus"
  48. backwards) and InsertPayload (this adds the anti-nuclear remarks).
  49.  
  50.