home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / MVUPDAT3.ZIP / MACRO_AV.ZIP / MACRO008.TXT < prev    next >
Encoding:
Text File  |  1996-09-02  |  27.2 KB  |  646 lines
  1. Microsoft Word document macro viruses
  2.  
  3. Date: 23rd of August, 1995, updated 16th of July 1996.
  4.  
  5.    * Introduction
  6.    * WordMacro/DMV
  7.    * WordMacro/Concept
  8.    * WordMacro/Nuclear
  9.    * WordMacro/Colors
  10.    * WordMacro/Hot
  11.    * WordMacro/Atom
  12.    * Other Word macro viruses and trojans
  13.    * Protecting yourself against Word macro viruses
  14.    * F-PROT and Word macro viruses
  15.    * Downloading F-MACRO utility
  16.  
  17. Introduction
  18.  
  19. Macro viruses are not a new concept - they were predicted as early as the
  20. late eighties. At that time, the first studies about the possibility of
  21. writing viruses with the macro languages of certain applications were made.
  22.  
  23. However, macro viruses are not just a theory any more. Currently, there are
  24. several known macro viruses. They have all been written with WordBasic, the
  25. powerful macro language of Microsoft Word. These viruses spread through
  26. Word documents - Word's advanced template system makes it an opportune
  27. environment for viral mischief. This is problematic, because people
  28. exchange document a lot more than executables or floppy disks. Macro
  29. viruses are also very easy to create or modify.
  30.  
  31. Although other word processors like WordPerfect and Ami Pro do support
  32. reading Word documents, they can not be infected by these viruses. It is
  33. not impossible to write similar viruses for these systems, however.
  34.  
  35. WordMacro/DMV
  36.  
  37. WordMacro/DMV is probably the first Word macro virus to have been written.
  38. It is test virus, written by a person called Joel McNamara to study the
  39. behavior of macro viruses. As such, it is no threat - it announces its
  40. presence in the system, and keeps the user informed of its actions.
  41.  
  42. Mr. McNamara wrote WordMacro/DMV in fall 1994 - at the same time, he
  43. published a detailed study about macro viruses. He kept his test virus
  44. under wraps until a real macro virus, WordMacro/Concept, was discovered. At
  45. that time, he decided to make WordMacro/DMV known to the public. We oppose
  46. to such behaviour; although it can be argued that spreading such
  47. information will educate the public, we can also except to see new variants
  48. of the DMV virus, as well as totally new viruses inspired by the techniques
  49. used in this virus. McNamara also published a skeleton for a virus to
  50. infect Microsoft Excel spreadsheet files.
  51.  
  52. F-PROT Professional 2.20 is able to the detect the WordMacro/DMV macro
  53. virus.
  54.  
  55. WordMacro/Concept
  56.  
  57. WordMacro/Concept - also known as Word Prank Macro or WW6Macro - is a real
  58. macro virus which has been written with the Microsoft Word v6.x macro
  59. language. It has been reported in several countries, and seems to have no
  60. trouble propagating in the wild.
  61.  
  62. WordMacro/Concept consists of several Word macros. Since Word macros are
  63. carried with Word documents themselves, the virus is able to spread through
  64. document files. This is a quite ominous development - so far, people have
  65. only had to worry about infections in their program files. The situation is
  66. made worse by the fact that WordMacro/Concept is also able to function with
  67. Microsoft Word for Windows 6.x and 7.x, Word for Macintosh 6.x, as well as
  68. in Windows 95 and Windows NT environments. It is, truly, the first
  69. functional multi-environment virus, although it can be argued that the
  70. effective operating system of this virus is Microsoft Word, not Windows or
  71. MacOS.
  72.  
  73. The virus gets executed every time an infected document is opened. It tries
  74. to infect Word's global document template, NORMAL.DOT (which is also
  75. capable of holding macros). If it finds either the macro "PayLoad" or
  76. "FileSaveAs" already on the template, it assumes that the template is
  77. already infected and ceases its functioning.
  78.  
  79. If the virus does not find "PayLoad" or "FileSaveAs" in NORMAL.DOT,
  80. it starts copies the viral macros to the template and displays a
  81. small dialog box on the screen. The box contains the number "1" and an "OK"
  82. button, and its title bar identifies it as a Word dialog box. This effect
  83. seems to have been meant to act as a generation counter, but it does not
  84. work as intended. This dialog is only shown during the initial infection of
  85. NORMAL.DOT.
  86.  
  87. After the virus has managed to infect the global template, it infects all
  88. documents that are created with the File/Save As command. It is then able
  89. to spread to other systems on these documents - when a user opens an
  90. infected document on a clean system, the virus will infect the global
  91. document template.
  92.  
  93. The virus consists of the following macros:
  94.  
  95.         AAAZAO
  96.         AAAZFS
  97.         AutoOpen
  98.         FileSaveAs
  99.         PayLoad
  100.  
  101. Note that "AutoOpen" and "FileSaveAs" are legitimate macro names, and some
  102. users may already have attached these macros to their documents and
  103. templates. In this context, "PayLoad" sounds very ominous. It contains the
  104. text:
  105.  
  106.         Sub MAIN
  107.                 REM That's enough to prove my point
  108.         End Sub
  109.  
  110. However, the "PayLoad" macro is not executed at any time.
  111.  
  112. You can detect the presence of the WordMacro/Concept macro virus in your
  113. system by simply selecting the command Macro from Word's Tools menu. If the
  114. macro list contains a macro named "AAAZFS", your system is infected.
  115.  
  116. You could prevent the virus from infecting your system by creating a macro
  117. named "PayLoad" that doesn't have to do anything. The virus will then
  118. consider your system already infected, and will not try to infect the
  119. global template NORMAL.DOT. This is only a temporary solution, though -
  120. somebody may modify the viruse's "AutoOpen" macro to infect the system
  121. regardless of whether NORMAL.DOT contains the macros "FileSaveAs" or
  122. "PayLoad".
  123.  
  124. Concept replicates only on English versions of Word. However, one
  125. translated version to operate on French Word has been found. This variant
  126. is known as WordMacro/Concept.Fr.
  127.  
  128. F-PROT Profesional is able to the detect the WordMacro/Concept macro virus.
  129.  
  130. WordMacro/Nuclear
  131.  
  132. WordMacro/Nuclear was recently discovered. Like WordMacro/DMV and
  133. WordMacro/Concept, it spreads through Microsoft Word documents. The new
  134. virus was first spotted on a FTP site in Internet, in a publicly accessible
  135. area which has in the past been a notorious distribution site for viral
  136. code. Apparently, the viruse's distributor has some sense of irony; the
  137. virus was attached to a document which described an earlier Word macro
  138. virus, WordMacro/Concept.
  139.  
  140. Whereas WordMacro/DMV is a test virus and WordMacro/Concept is only
  141. potentially harmful, WordMacro/Nuclear is destructive, harmful and
  142. generally obnoxious. It consists of a number of Word macros attached to
  143. documents. When an infected document is opened, the virus is executed and
  144. tries to infect Word's global document template, NORMAL.DOT.
  145.  
  146. Unlike WordMacro/Concept - which pops up a dialogue box when it infects
  147. NORMAL.DOT - WordMacro/Nuclear does not announce its arrival in the system.
  148. Instead, it lays low and infects every document created with the File/Save
  149. As command by attaching its own macros to it. The virus tries to hide its
  150. presence by switching off the "Prompt to save NORMAL.DOT" option (in the
  151. Options dialogue, opened from Tools menu) every time a document is closed.
  152. That way, the user is no longer asked whether changes in NORMAL.DOT should
  153. be saved, and the virus is that more likely to go unnoticed. Many users
  154. relied on this option to protect themselves against the WordMacro/Concept
  155. virus, but it obviouisly no longer works against Nuclear.
  156.  
  157. WordMacro/Nuclear contains several potentially destructive and irritating
  158. routines. The next time Word is started after initial infection, one of its
  159. constituent macros, "DropSuriv", looks up the time in the computer's clock.
  160. If the time is between 17.00 and 17.59, the virus tries to inject a more
  161. traditional DOS/Windows file virus called "Ph33r" into the system (as the
  162. viruse's author has commented in the viruse's code: "5PM - approx time
  163. before work is finished"). "Suriv" is, of course, "Virus" spelled
  164. backwards. However, due to an error, this routine does not work as intended
  165. in any of the popular operating environments.
  166.  
  167. Another of the viruse's macros, "PayLoad", tries to delete the computer's
  168. system files IO.SYS, MSDOS.SYS and COMMAND.COM whenever the date is fifth
  169. of April. This attempt will fail due a programming error (virus authors
  170. never test drive the destructive parts of their code, it seems). And
  171. finally, the virus adds the following two lines:
  172.  
  173.         And finally I would like to say:
  174.         STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC
  175.  
  176. at the end of any document printed or faxed from Word during the last five
  177. seconds of any minute. Since the text is added at print-time only, the user
  178. is unlikely to notice this embarassing change. This function is handled by
  179. the viral macro "InsertPayload".
  180.  
  181. The virus can be detected by selecting the Macro command from the Tools
  182. menu and checking whether the macro list contains any curiously named
  183. macros. "DropSuriv" and "InsertPayload" are obvious giveaways.
  184.  
  185. F-PROT Professional 2.20 is able to the detect the WordMacro/Nuclear virus.
  186.  
  187. WordMacro/Colors
  188.  
  189. This macro virus was posted to a usenet newsgroup on the 14th of October,
  190. 1995. It is also known as the Rainbow virus. This macro virus infectes Word
  191. documents in a similar manner as the previous Word macro viruses, except
  192. that it does not rely only on the auto-execute macros to operate. Thus,
  193. this virus will be able to execute even if the automacros are turned off.
  194. Colors contains the following macros:
  195.  
  196.         AutoClose
  197.         AutoExec
  198.         AutoOpen
  199.         FileExit
  200.         FileNew
  201.         FileSave
  202.         FileSaveAs
  203.         ToolsMacro
  204.         macros
  205.  
  206. All macros are encrypted with the standard Word execute-only feature.
  207.  
  208. When an infected document is opened, the virus will execute when user:
  209.  
  210.    * Creates a new file
  211.    * Closes the infected file
  212.    * Saves the file (autosave does this automatically after the infected
  213.      document has been open for some time)
  214.    * Lists macros with the Tools/Macro command
  215.  
  216. It is important not to use the Tools/Macro command to check if you are
  217. infected with this virus, as you will just execute the virus while doing
  218. this. Instead, use File/Templates/Organizer/Macros command to detect and
  219. delete the offending macros. Do note that a future macro virus will
  220. probably subvert this command as well.
  221.  
  222. The virus maintains a generation counter in WIN.INI, where a line
  223. "countersu =" in the [windows] part is increased during the execution of
  224. the macros. After every 300rd increments the virus will modify the system
  225. color settings; the colors of different Windows objects will be changed to
  226. random colors after next boot-up. This activation routine will not work
  227. under Microsoft Word for Macintosh.
  228.  
  229. It is interesting to note that the AutoExec macro in the virus is empty. It
  230. is probably included just to overwrite an existing AutoExec macro - which
  231. might contain some antivirus routines. WordMacro/Colors also enables the
  232. automatic execution of automacros if they have been disabled, and turns off
  233. the 'prompt to save changes to NORMAL.DOT' feature, both of which have been
  234. used to fight macro viruses.
  235.  
  236. WordMacro/Colors seems to be carefully written; The virus even has a debug
  237. mode built-in. The virus is probably written in Portugal.
  238.  
  239. F-PROT Professional 2.21 is able to the detect the WordMacro/Colors macro
  240. virus.
  241.  
  242. WordMacro/Hot
  243.  
  244. WordMacro/Hot was the first Word macro virus written in Russia. It was
  245. found in the wild over there in January 1996.
  246.  
  247. Hot spreads in a similar manner as the WordMacro/Concept virus: when an
  248. infected DOC is first opened, virus modifies the NORMAL.DOT file, and will
  249. spread to other documents after that.
  250.  
  251. Unlike the earlier Word macro viruses, Hot does not replicate with the
  252. File/Save As command - it infects only during the basic File/Save command.
  253. This means that Hot will infect only existing documents in the system - not
  254. new ones.
  255.  
  256. Infected documents contain the following four macros, which are visible in
  257. the macro list:
  258.  
  259.    * AutoOpen
  260.    * DrawBringInFrOut
  261.    * InsertPBreak
  262.    * ToolsRepaginat
  263.  
  264. When Hot infects NORMAL.DOT, it renames these macros to:
  265.  
  266.    * StartOfDoc
  267.    * AutoOpen
  268.    * InsertPageBreak
  269.    * FileSave
  270.  
  271. Macros have been saved with the 'execute-only' feature, which means that a
  272. user can't view or edit them.
  273.  
  274. WordMacro/Hot contains a counter. It adds a line like this to the
  275. WINWORD6.INI file:
  276.  
  277.         QLHot=35112
  278.  
  279. This number is based on the number of days during this century. Hot adds 14
  280. to this number and then waits until this latency time of 14 days has
  281. passed. Hot will spread normally during this time, it will just not
  282. activate.
  283.  
  284. After the 14 day pause, there is a 1 in 7 chance that a document will be
  285. erased when it is opened. Virus will delete all text and re-save the
  286. document. Hot does not do this, if it find a file called EGA5.CPI from the
  287. C:\DOS directory. A comment in the source code of the virus hints that this
  288. feature is added so that the author of the virus and his friends can
  289. protect themselves from the activation damage:
  290.  
  291.   '---------------------------------------------------------------
  292.   '- Main danger section: if TodayNo=(QLHotDateNo + RndDateNo) ---
  293.   '- and if File C:DOSega5.cpi not exist (not for OUR friends) -
  294.   '---------------------------------------------------------------
  295.  
  296. By default, there is no file by the name EGA5.CPI in MS-DOS distributions.
  297.  
  298. WordMacro/Hot was the first macro virus to use external functions. This
  299. system allows Word macros to call any standard Windows API call. The use of
  300. external functions is specific to Windows 3.1x means that WordMacro/Hot
  301. will be unable to spread under Word for Macintosh or Word 7 for Windows 95:
  302. opening an infected document will just produce an error message.
  303.  
  304. F-PROT Professional 2.21a is able to detect the WordMacro/Hot virus.
  305.  
  306. WordMacro/Atom
  307.  
  308. WordMacro/Atom was found in February 1996. It's operating mechanism is
  309. quite similar to WordMacro/Concept, with the following differences:
  310.  
  311.    * All the macros in this virus are encrypted (Word's execute-only
  312.      feature)
  313.    * The virus replicates during file openings as well, in addition to
  314.      saving files
  315.    * The virus has two destructive payloads
  316.  
  317. First activation happens when the date is December 13th. At this date the
  318. virus attempts to delete all files in the current directory.
  319.  
  320. Second activation happens when a File/Save As command is issued and
  321. the seconds of the clock are equal to 13. If so, the virus will
  322. password-protect the document, making it unaccesible to the user in the
  323. future. The password is set to be ATOM#1.
  324.  
  325. It is not easy to give a search string for this virus: some of the
  326. replicants are usually in files password-protected by the virus, and thus
  327. contain no constant user-definable search string.
  328.  
  329. Disabling automacros will make Atom unable to execute and spread. Turning
  330. on the Prompt to save NORMAL.DOT setting will make Atom unable to infect
  331. NORMAL.DOT, but it will still be able to infect documents that are opened
  332. or saved during the same Word session.
  333.  
  334. WordMacro/Atom is not known to be in the wild.
  335.  
  336. Other Word macro viruses and trojans
  337.  
  338. In total the following macro viruses have been found between August 1995
  339. and June 1996:
  340.  
  341. WordMacro/Atom
  342. WordMacro/Boom
  343. WordMacro/Colors.A
  344. WordMacro/Colors.B
  345. WordMacro/Concept.A
  346. WordMacro/Concept.B
  347. WordMacro/Concept.C
  348. WordMacro/Concept.D
  349. WordMacro/Date
  350. WordMacro/Divina
  351. WordMacro/DMV
  352. WordMacro/Doggie
  353. WordMacro/Friendly
  354. WordMacro/GoldFish
  355. WordMacro/Guess
  356. WordMacro/Hot
  357. WordMacro/Imposter
  358. WordMacro/Irish
  359. WordMacro/KillDLL
  360. WordMacro/LBYNJ
  361. WordMacro/MDMA
  362. WordMacro/NOP
  363. WordMacro/Nuclear.A
  364. WordMacro/Nuclear.B
  365. WordMacro/PCW
  366. WordMacro/Pheeew
  367. WordMacro/Polite
  368. WordMacro/Reflex
  369. WordMacro/Wazzu
  370. WordMacro/Xenixos
  371.  
  372. WordMacro/Wazzu consists of a single AutoOpen macro; this makes it language
  373. independent, ie. this macro virus is able to infect localized versions of
  374. Word as well as the english Word.
  375.  
  376. Unlike most other macro viruses, Wazzu has really been seen in the wild:
  377. there are few reports of infections in USA during spring 1996.
  378.  
  379. Wazzu modifies the contents of documents it infects, moving words around
  380. and inserting the text 'wazzu '. Word Wazzu is reported to be a nickname
  381. for the Washington State University.
  382.  
  383. There exists also several trojans written in the Word macro language. These
  384. typically delete data as soon as the trojanized document is open. Since
  385. these do not spread by themselves, they are not widespread and not
  386. considered to be a significant threat.
  387.  
  388. Some known macro trojans are WordTrojan/FormatC and
  389. WordTrojan/WeideroffnenC. F-PROT does not attempt to search for macro
  390. trojans and we have no plans to add support for them.
  391.  
  392. Protecting yourself against Word macro viruses
  393.  
  394. There is a generic way to protect your Word against some of the known macro
  395. viruses. However, this should not be relied on alone, as it can not stop
  396. even all known macro viruses. Select the command Macro from the Tools menu
  397. and create a new macro called "AutoExec". Write the following commands to
  398. the macro and save it:
  399.  
  400. Sub MAIN
  401.         DisableAutoMacros
  402.         MsgBox "AutoMacros are now turned off.", "Virus protection", 64
  403. End Sub
  404.  
  405. This macro will be executed automatically when Word starts. It will disable
  406. the feature which viruses like Concept, DMV and Nuclear use to attack the
  407. system. However, there are ways to create macro viruses that are able to
  408. bypass such protection.
  409.  
  410. Only some of currently known Word macro viruses are able to infect
  411. nationalized versions on Word. In these programs, the macro language
  412. commands have been translated to the national language, and therefore
  413. macros created with the English version of Word will not work. Since these
  414. viruses consists of macros, they will be unable to function. However,
  415. viruses like DMV or Wazzu are able to spread in any version of Word.
  416.  
  417. F-PROT and Word macro viruses
  418.  
  419. F-PROT has been able to detect Word macro viruses since October 1995.
  420. Here's a history of the detected viruses in different F-PROT version (only
  421. bimonthly updates listed):
  422.  
  423. F-PROT 2.20, October 1995:
  424.  
  425. WordMacro/Concept
  426. WordMacro/DMV
  427. WordMacro/Nuclear
  428.  
  429. F-PROT 2.21, December 1995:
  430.  
  431. WordMacro/DMV
  432. WordMacro/Colors
  433. WordMacro/Concept
  434. WordMacro/Nuclear
  435.  
  436. F-PROT 2.22, March 1996:
  437.  
  438. WordMacro/Atom
  439. WordMacro/Colors
  440. WordMacro/Concept
  441. WordMacro/DMV
  442. WordMacro/Hot
  443. WordMacro/Imposter
  444. WordMacro/Nuclear.A
  445. WordMacro/Nuclear.B
  446. WordMacro/Xenixos
  447.  
  448. F-PROT 2.23, May 1996:
  449.  
  450. WordMacro/Atom
  451. WordMacro/Boom
  452. WordMacro/Colors
  453. WordMacro/Concept
  454. WordMacro/DMV
  455. WordMacro/Friendly
  456. WordMacro/Hot
  457. WordMacro/Imposter
  458. WordMacro/Lbynj
  459. WordMacro/Nop
  460. WordMacro/Nuclear.A
  461. WordMacro/Nuclear.B
  462. WordMacro/Pheew
  463. WordMacro/Wazzu
  464. WordMacro/Xenixos
  465.  
  466. Unlike the limited free version of F-PROT, F-PROT Professional is able to
  467. disinfect macro viruses automatically.
  468.  
  469. This scanning and disinfection technology was developed by Data Fellows
  470. Ltd. F-PROT Professional for Windows, Windows 95, Windows NT and OS/2 as
  471. well as the realtime Windows VxD scanners have these macro scanning
  472. features built in to their normal scanners.
  473.  
  474. If you are running a VxD-based background protection from the F-PROT
  475. Professional suite, you will be notified on infected document files as soon
  476. as you try to open or copy them or when you are receiving such a document
  477. as an e-mail attachment or downloading it from www. Disinfection can also
  478. be done in realtime. A VxD-based solution provides significantly better
  479. protection than antivirus systems relying on the Word macro language.
  480.  
  481. Downloading F-MACRO utility
  482.  
  483. F-MACRO is a stand-alone DOS application, which is based on the F-PROT
  484. Professional scanning technology. It is able to disinfect macro viruses
  485. known to it. F-MACRO can be downloaded from our ftp site.
  486. ---------------------------------------------------------------------------
  487.  
  488. Microsoft Excel macro viruses
  489.  
  490. Date: 16th of July 1996, updated 26th of July 1996
  491.  
  492. A year after the first widespread Microsoft Word macro virus, the first
  493. real Microsoft Excel macro was found in July 1996. Word macro viruses have
  494. demonstrated that viruses spreading in macro format inside document files
  495. can spread far and wide: WordMacro/Concept is the most commonly reported
  496. virus in the world. The first Excel macro virus was named
  497. ExcelMacro/Laroux.
  498.  
  499. Once the Excel environment has been infected by this virus, the virus will
  500. always be active when Excel is loaded and will infect any new Excel
  501. workbooks that are created as well as old workbooks when they are accessed.
  502. The virus spreads from a machine to another when XLS files are exchanged
  503. over a local network, over the internet, in e-mail or on diskettes.
  504.  
  505. ExcelMacro/Laroux was written in Visual Basic for Applications (VBA). This
  506. is a macro language based on the Visual Basic language from Microsoft. This
  507. virus is be able to operate under Excel 5.x and 7.x under Windows 3.x,
  508. Windows 95 and Windows NT. This virus does not work under any version of
  509. Excel for Macintosh or Excel 3.x or 4.x for Windows. It also fails under
  510. some localized versions of Excel, but works fine under other (for example,
  511. it won't work under French Excel, but replicates fine under Finnish Excel).
  512. This depends on how the translation is done.
  513.  
  514. ExcelMacro/Laroux consists of two macros, auto_open and check_files. The
  515. auto_open macro executes whenever an infected Spreadsheet is opened,
  516. followed by the check_files macro which determines the startup path of
  517. Excel. If there is no file named PERSONAL.XLS in the startup path, the
  518. virus creates one. This file contains a module called "laroux".
  519.  
  520. PERSONAL.XLS is the default filename for any macros recorded under Excel.
  521. Thus you might have PERSONAL.XLS on your system even though you are not
  522. infected by this virus. The startup path is by default set as
  523. \MSOFFICE\EXCEL\XLSTART, but it can be changed from Excel's
  524. Tools/Options/General/Alternate Startup File menu option.
  525.  
  526. If an infected workbook resides on a write-protected floppy, an error will
  527. occur when Excel tries to open it and the virus will not be able to
  528. replicate.
  529.  
  530. ExcelMacro/Laroux is not intentionally destructive and contains no payload;
  531. it just replicates.
  532.  
  533. Detecting ExcelMacro/Laroux with F-PROT Professional
  534.  
  535. F-PROT supports user defined search strings to search for new viruses. Add
  536. the following search string with the name ExcelMacro/Laroux:
  537.  
  538.         00 21 00 60 00 27 20 6A 00 20 20 6A 00 AD 00 01 00 5C 00 11
  539.  
  540. After this, check all Excel worksheets for infection. You can do this by
  541. scanning all files or by adding XL? extension to the list of file
  542. extensions to be scanned.
  543.  
  544. Infected files will be reported by F-PROT like this:
  545.  
  546.         C:\SHEETS\CUSTOMER.XLS contains the ExcelMacro/Laroux search string.
  547.  
  548. Detecting ExcelMacro/Laroux manually
  549.  
  550. Select Tools/Macro from Excel menus. If you find the macros auto_open,
  551. check_files, PERSONAL.XLS!auto_open and PERSONAL.XLS!check_files (and
  552. possibly 'bookname'!auto_open and 'bookname'!check_files from any infected
  553. workbook you have open), infection is likely. Re-check this by selecting
  554. the Window/Unhide menu and unhide the Personal file. This should make the
  555. Personal sheet visible, with text laroux in in the sheet tab.
  556.  
  557. To disinfect Laroux, delete these macros and exit Excel, saving all
  558. changes. Now Excel itself is clean. Next, open all infected workbooks one
  559. by one, keeping the left shift pressed down while opening them (according
  560. to Excel documentation, this bypasses automacros, but unfortunately it
  561. doesn't seem to always work). Then open Tools/Macro and delete the virus
  562. macros and re-save the file.
  563.  
  564. We're trying to evaluate how widely this virus has spread; If you find you
  565. are infected with this virus, please contact us.
  566.  
  567. Future
  568.  
  569. It can be expected that virus scanners won't be instantly updated to handle
  570. Excel macro viruses - Excel uses a propriaty file format, and proper
  571. scanning and disinfection of Excel files will need co-operation from
  572. Microsoft. From our experiences with the Word file format information
  573. exchange, this can take some time.
  574.  
  575. In general, Microsoft Excel has even more powerful set of commands and
  576. system hooks than Microsoft Word. This means that Excel viruses have more
  577. ways to propogate than Word viruses (or Ami Pro viruses). However, Excel is
  578. not as widely used as Word.
  579.  
  580. What about DMV?
  581.  
  582. A person called Joel McNamara wrote a Word macro virus called WordMacro/DMV
  583. to study the behavior of macro viruses in fall 1994 - at the same time, he
  584. published a detailed study about macro viruses.
  585.  
  586. McNamara also published a skeleton for a virus to infect Microsoft Excel
  587. spreadsheet files. However, this file was not functional and was not able
  588. to spread. So, at it's current state, it can not be called a virus. It
  589. would be possible to develop a working virus from the DMV Excel sample, but
  590. we have not seen such yet. This makes ExcelMacro/Laroux the first working
  591. Excel virus we've seen.
  592.  
  593. Although it can be argued that spreading information like Mr. McNamara has
  594. done will educate the public, we can also except to see new variants of the
  595. DMV virus, as well as totally new viruses inspired by the techniques used
  596. in it. We oppose to such behaviour.
  597.  
  598. ---------------------------------------------------------------------------
  599.  
  600. Ami Pro macro viruses
  601.  
  602. Date: 23rd of January, 1996, updated 27th of January.
  603.  
  604. With Microsoft Word, a document and all macros related to it are stored in
  605. a single file. So a file called DOCUMENT.DOC or DOCUMENT.DOT contains both
  606. the document contents and the macros. But with Lotus' Ami Pro, macros are
  607. stored in a separate file: if you have DOCUMENT.SAM, macros related to it
  608. are in DOCUMENT.SMM. This makes it somewhat more difficult for Ami Pro
  609. viruses to spread, since when a user is distributing a document, he is
  610. likely to leave the .SMM file behind, effectively disabling the virus.
  611.  
  612. The first Ami Pro macro virus was located in January 1996. The virus, which
  613. is called Green Stripe or AmiMacro/GreenStripe, works by creating a .SMM
  614. file for every .SAM file in Ami Pro's default DOCS directory
  615. (\amipro\docs), and modifying the existing .SAM files to use the new
  616. macros. The name of the virus comes from it's main macro procedure, which
  617. is called Green_Stripe_virus.
  618.  
  619. Green Stripe propagates by intercepting Ami's File/Save and File/Save As
  620. commands. Using File/Save As and saving an infected document to a network
  621. drive or a floppy is the only likely way for this virus to spread from a
  622. machine to another.
  623.  
  624. Green Stripe has an activation routine which triggers during saving: the
  625. virus searches through the document and replaces all occurences of the word
  626. "its" with "it's". Such a change can easily go undetected by the user.
  627. However, it is unclear whether this routine works at all.
  628.  
  629. Green Stripe is rumoured to have been originally published in a US
  630. virus-related magazine. It is unlikely to spread in the wild.
  631.  
  632. Detecting Green Stripe
  633.  
  634. Open the Tools/Macros/Edit menu and check whether the document has a .SMM
  635. macro file assigned to be executed on open. To disinfect an infected
  636. document, just delete the .SMM file, open the document to Ami and uncheck
  637. the above setting.
  638.  
  639. Also, the initial infection process takes a long time, and the user is
  640. likely to notice that something is going wrong, since all the documents in
  641. the default directory are quickly appearing and disappearing on the screen
  642. while the virus infects them.
  643.  
  644. ---------------------------------------------------------------------------
  645.  
  646.