|
НЕКОТОРЫЕ РАСПРОСТРАНЕННЫЕ МАКРОВИРУСЫ
WordMacro/Concept, известный также как Word Prank Macro или WWW6 Macro, — это макровирус, написанный на внутреннем языке Microsoft Word 6.0. На самом деле он состоит из нескольких макрокоманд: AAAZAO, AAAZFS, AutoOpen, FileSaveAs и PayLoad. Хочу обратить ваше внимание на то, что макрокоманды AutoOpen и FileSaveAs являются стандартными. Макровирус пытается заразить общий шаблон документов normal.dot. Если же в процессе заражения вирус обнаружит, что в файле шаблона уже находится макрокоманда PayLoad или FileSaveAs, то он прекратит атаку. Заразив общий шаблон, вирус начинает заражать все документы, сохраненные с помощью команды Сохранить как. Для обнаружения вируса воспользуйтесь меню Сервис и выберите в нем пункт Макрос. Если в появившемся окне есть макрокоманда AAAZFS, то, скорее всего, вирус уже поразил вашу систему. Можно вылечить систему. Для этого достаточно создать пустую макрокоманду с именем PayLoad — она запишется поверх макрокоманды вируса. Теперь система надежно защищена от заражения. Ведь вирус, обнаружив эту макрокоманду, посчитает, что система уже заражена, и не станет ее заражать. Однако создание макрокоманды-пустышки — это лишь временное решение. Возможно, что именно в этот момент кто-то изменяет Concept так, чтобы он заражал систему, не обращая внимания на макрокоманды, расположенные в шаблоне normal.dot. Word Macro/Atom очень похож на Concept. Однако есть и некоторые различия. Автор этого макровируса зашифровал макрокоманду вируса. Вирус воспроизводится во время открытия или сохранения файла. Этот вирус гораздо сложнее обнаружить, потому что он зашифрован. Он производит два вида разрушений, похожих по действию, но различных в реализации.Макровирус активизируется 13 декабря. При этом он пытается удалить все файлы из текущего каталога. Вторая активизация наступает в тот момент, когда пользователь запускает команду FileSaveAs, а внутренние часы компьютера показывают 13 секунд. При этом на сохраняемый документ накладывается пароль, и пользователь больше не сможет открыть его. Чтобы остановить действие вируса, нужно отключить автоматическое выполнение макрокоманд или заставить Word запрашивать разрешение на сохранение изменений в normal.dot. Для этого откройте меню Сервис и выберите пункт Параметры. Выберите в появившемся диалоговом окне закладку Сохранение и поставьте флажок напротив пункта Запрос на сохранение шаблона «Обычный». Word Macro/Bandung состоит из шести макрокоманд: AutoExec, AutoOpen, FileSave, FileSaveAs, ToolsCustomize и ToolsMacro. При открытии зараженного файла (или запуске Word с зараженным файлом общего шаблона) после 11:00 начиная с двадцатого числа каждого месяца (и до конца месяца) вирус удаляет файлы во всех подкаталогах диска С:, за исключением каталогов WINDOWS, WINWORD или WINWORD6. Во время этой операции в строке состояния высвечивается сообщение «Reading menu … Please Wait!». После удаления вирус создает файл c:pesan.txt и оставляет в нем свое сообщение.Если при просмотре зараженного документа пользователь выберет меню Сервис, а в нем пункт Макрос, то вирус отобразит на экране диалоговое окно с сообщением «Fail on step 29296″ (в заголовке окна будет отображена строка Егг@#*(с) и символ STOP). После этого вирус заменит в документе все символы а на #@, а затем сохранит документ. Как вы уже, наверное, догадались, Word никогда не проделывает таких операций.В 1995 году в одну из групп новостей Usenet был помещен вирус WordMacro/Colors. Иногда его еще называют Rainbow. Вирус поддерживает в файле win.ini счетчик поколений — он располагается в секции [windows] в строке countersu-. При каждом выполнении макрокоманды значение счетчика увеличивается на единицу. После некоторого значения вирус изменяет установки цветов системы. При следующей загрузке Windows она будет раскрашена в случайно подобранные цвета. Этот макровирус заражает документы Word так же, как и многие остальные вирусы. Однако он не полагается на автоматическое выполнение макрокоманд и активизируется даже в том случае, если вы запустите Word с параметром DisableAutoMacros или воспользуетесь средствами защиты шаблонов от вирусов (они расположены на Web-сайте http://www.microsoft.com ).Имена макрокомандAuto Close AutoExec AutoOpen FikExit FileNew FileSave FileSaveAs ToolsMacro Macros Во время выполнения одной из этих макрокоманд вирус активизируется и заразит файл normal.dot. После открытия зараженного документа вирус будет выполняться при каждом создании нового файла, закрытии зараженного файла и сохранении открытого файла. Кроме того, он будет выполняться и при открытии пункта Макрос меню Сервис. Таким образом, не нужно пользоваться этим пунктом для определения вируса. Вместо этого откройте меню Файл и выберите пункт Шаблоны. Откройте с его помощью диалоговое окно Организатор. В этом окне выберите закладку Макро. Теперь вы сможете спокойно обнаружить и удалить опасные макрокоманды. Однако не забывайте, что вирус может заново переписать их. Отметим также, что автор этого вируса — достаточно опытный программист: в вирусе даже предусмотрен встроенный режим отладки.Макровирус WordMacro/Hot содержит четыре макрокоманды. Прежде всего этот вирус создает строку в файле winword.ini, где записана «горячая дата» — онадолжна наступить через две недели после заражения. Строка выглядит примерно так: QLHot=120401. После этого вирус копирует в файл normal.dot макрокоманды Начальные имена макрокоманд Конечные имена макрокоманд o AutoOpen StartOfDoc DrawBringln Front AutoOpen InsertPBreak Insert Page Break ToolsRepaginat FileSave Если выбрать в меню Сервис пункт Макрос, то в появившемся диалоговом окне вы увидите имена макрокоманд. Спустя несколько дней после наступления «горячей даты» вирус активизируется и удалит выбранные случайным образом файлы. Чтобы избавиться от этого вируса, удалите его макрокоманды. Макровирус WordMacro/MDMA содержит всего лишь одну макрокоманду — AutoClose. Этот макровирус заражает все версии WinWord 6.0 и более поздние, причем он действует и на PC, и на Macintosh. Вирус активизируется первого числа каждого месяца. Его действия зависят от компьютерной платформы. На компьютерах Macintosh он пытается удалить все файлы, расположенные в текущей папке. Однако из-за ошибки в своем тексте вирус не может выполнить своего предназначения. При этом возникает синтаксическая ошибка, и вирус не приносит никакого вреда. В Windows NT вирус вытирает все файлы в текущем каталоге, а также файл c:shmk. В Windows 95 вирус удаляет файлы c:shmk, c:windows*.hlp и c:windowssystem*.cpl. Кроме того, вирус устанавливает параметры Stickykeys и HighContrast, а также сбрасывает параметр выполнения сценариев входа в сеть. Из-за ошибки в тексте вирусу не удается установить параметр HighContrast. В Windows 3.1 вирус удаляет файл c:shmk, а в файле autoexec.bat он размещает следующие строки: @ echo off deltree /у с: @ echo You have just been ** expletive deleted ** over by a virus @ echo You are infected with MDMAJDMV. @ echo Brought to you by MDMA При попытке перегрузить компьютер вирус удалит все файлы, размещенные на диске с:. Очень распространенным является макровирус WordMacro/Nuclear. Как и остальные макровирусы, он старается заразить основной шаблон документов. Однако он не пытается раскрыть своего присутствия с помощью диалоговых окон. Вместо этого вирус незаметно инфицирует каждый документ, созданный с помощью пункта Сохранить как меню Файл. При этом он добавляет к документу свою макрокоманду. Чтобы не быть обнаруженным, при каждом закрытии документа Nuclear сбрасывает флажок Запрос на сохранение шаблона «Обычный». После этого Word больше не будет запрашивать у пользователя разрешение на сохранение изменений файла normal.dot. Благодаря этому вирус становится практически незаметным. Дело в том, что многие пользователи используют этот параметр для защиты от макровирусов. Однако они и не догадываются о том, что вирус может изменить его.Пятого апреля макрокоманда вируса — PayLoad — пытается удалить системные файлы io.sys, msdos.sys и command.com. Кроме того, вирус добавляет в конце каждого напечатанного или посланного по факсу (из Word) документа в течение последних пяти секунд каждой минуты следующие строки: «And finally I would like to say: STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC». (A напоследок я скажу: ПРЕКРАТИТЕ ВСЕ ФРАНЦУЗСКИЕ АТОМНЫЕ ИСПЫТАНИЯ В ТИХОМ ОКЕАНЕ). Так как эти строки добавляются только во время печати, то пользователь не может их увидеть во время просмотра документа. Это действие производит макрокоманда вируса Insert Pay Load. Чтобы уничтожить вирус, воспользуйтесь пунктом Макрос меню Сервис. Если вы обнаружите там макрокоманду вроде InsertPayLoad, можете смело ее удалять. Макровирус Word Macro/Wazz.it содержит всего лишь одну макрокоманду — AutoOpen. Поэтому он не зависит от языка. Другими словами, этот макровирус может выполняться в локализованных версиях Word. Вирус Wazzu изменяет содержание зараженных документов: он перемешивает слова и вставляет слово «wazzu». Трудно определить, откуда пришел этот макровирус. Отмечу лишь то, что аббревиатура Washington State University звучит так же, как и Wazzu.
Не нашли, что искали? Воспользуйтесь поиском по сайту:
©2015 - 2024 stydopedia.ru Все материалы защищены законодательством РФ.
|