Popisy virů

Makroviry

Pokud není jinak uvedeno, informace jsou přeloženy z AVP Virus Encyclopedie (www.avp.ch/avpve).

WM/CAP.A


Tento virus je zajímavý jak svou stavbou, tak úpornou snahou šířit se za všech okolností a v každém prostředí.

Samotný virus je tvořen v podstatě jediným, poměrně rozsáhlým a komplikovaným makrem, pojmenovaným CAP (odtud tedy pochází i jméno viru). Ostatní makra, která s sebou virus nosí, mají tělo buď prázdné nebo obsahují pouze volání funkce z makra CAP.

Virus nejčastěji doprovázejí tato modifikovaná makra:
  AutoExec, AutoOpen, AutoClose,FileSave, FileSaveAs,
  FileOpen, FileClose, FileTemplates, ToolsMacro.
Kromě toho virus prohledá menu právě infikovaného Wordu a v případě potřeby (t.j. v případě, že váš Word používá lokalizované názvy vybraných položek) vytvoří další makra odpovídající těmto položkám. Všechna virová makra s vyjímkou ToolsMacro jsou zakryptována a jejich komentář začíná znaky F%.

Ke ztížení vlastního odhalení využívá CAP vynikající možnosti modifikovat samotný Word. Díky tomu není pro virus obtížné odstranit z menu Nástroje (Tools) položky Makro (Macro) a Vlastní (Customize). Položka Šablony (Templates) v menu Soubor (File) zůstává, ale je nefunkční díky jejímu přiřazení k prázdnému makru.

Poměrně značnou péči věnoval autor také aktivní podpoře šíření svého díla. Virus obsahuje příkaz, který nastaví (pochopitelně bez vašeho vědomí) automatické ukládání dokumentů každých 10 minut.

Virus je dokonce schopen šíření i v případě, že používáte k přenosu dokumentů formát .RTF (Reach Text Format), který není schopen nést makra. Funkce uložení souboru je totiž modifikována tak, aby i soubory, které ukládáte jako RTF měly interní strukturu šablony a mohly tedy obsahovat makra.

CAP neobsahuje žádné viditelné projevy ani úmyslnou škodlivou činnost, pomineme-li, že z každého infikovaného dokumentu odstraní všechna makra, která tam byla před jeho nástupem.

Virus pochází z Venezuely, což lze usoudit z komentáře obsaženého v hlavní funkci makra CAP:
  C.A.P: Un virus social.. y ahora digital..
  "j4cKy Qw3rTy" (jqw3rty@hotmail.com).
  Venezuela, Maracay, Dic 1996.
  P.D. Que haces gochito ?
  Nunca seras Simon Bolivar.. Bolsa !

Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG



WM/Concept.A


Je to první makrovirus (WinWord), který se objevil v seznamu "in the wild". Virus obsahuje 5 maker: AAAZAO, AAAZFS, AutoOpen, PayLoad, FileSaveAs. Infikuje soubory při jejich ukládání (FileSaveAs).

V infikovaném dokumentu jsou texty:

see if we're already installed
iWW6IInstance
AAAZFS
AAAZAO
That's enough to prove my point
a další. Souboru WINWORD6.INI (na infikovaném počítači) pak obsahuje:
WW6I=1
Při prvním spuštění viru (při prvním otevření infikovaného souboru) se objeví v tabulce (MessageBox) s číslicí "1" a tlačítkem OK.

WM/MDMA.A


Kódovaný makrovirus. Obsahuje jen jedno makro AutoClose a infikuje soubory při jejich zavírání.

Prvního dne každého měsíce virus níčí soubory a zobrazuje text (v tabulce message box):
MDMA_DMV
You are infected with MDMA_DMV.
Brought to you by MDMA (Many Delinquent Modern Anarchists).
Ve Windows virus maže C:\SHMK soubor a přepisuje C:\AUTOEXEC.BAT s příkazy:
@echo off
deltree /y c:
@echo You have just been phucked over by a virus
Výsledkem jsou smazané všechny soubory ve všech podadresářích.

Ve Windows NT virus maže všechny soubory v hlavním adresáři stejně jako soubor C:\SHMK.

Na Macintoshi virus maže soubory v systémovém adresáři (?).

Pod jinými systémy (Windows 95) virus maže C:\SHMK soubor a všechny soubory *.HLP v adresáři C:\WINDOWS. Virus nastavuje některé hlavní řetezce a maže všechny *.CPL soubory v adresáři C:\WINDOWS\SYSTEM\.

WM/Npad.A


Kódovaný makrovirus. Obsahuje pouze jedno makro AutoOpen i infikuje globální šablonu / dokumenty při otevírání infikovaným souborem / dokumentem.

Virus vytváří počítadlo v souboru WIN.INI:
[NPad328]
Compatibility=
Při každé infekci virus zvýší hodnotu počítadla. Když dosáhno počítadlo hodnoty 23, virus zobrazí text v "status baru":
D0EUNPAD94,  v.2.21,  (c)  Maret  1996,  Bandung,  Indonesia
Virus obsahuje text:
D0EUNPAD94, v.2.21, (c) Maret 1996, Bandung, Indonesia
Macro MsWord virus, multiplatform, multi versi

WM/Wazzu


Tento makrovirus obsahuje jenom jedno makro AutoOpen. Infikuje Word dokumenty při jejich otevírání a kopíruje svoje makra do globální šablony (NORMAL.DOT), když je otevřen infikovaný dokument. Virus není kódován a může být snadno dektekován při hledání textu:
RndWorddo
wazzu do
RndWorddRgV
Po infekci dokumentu, virus vezme náhodně vybrané slovo z dokumentu a umístí ho na opět náhodně zvolenou pozici. Toto virus opakuje maximálně 3x v závislosti na počítadle. Někdy taky vkládá do dokumentu na náhodné místo řetezec "wazzu" (opět v závislosti na počítadle).

Virus obsahuje tři podprogramy v jeho makru:
MAIN 		- hlavní rutina, která převezme kontrolu při spuštění AutoOpen makra.
Payload		- tato rutina je volaná hlavní rutinou, vyměňuje slova a vkládá řetezec "wazzu".
RndWord		- tato rutina je volána rutinou Payload. Nastavuje náhodně vybranou pozici v dokumentu.
Slova zaměňuje s pravděpodobností 1:5 a slovo "wazzu" vkládá s pravděpodobností 1:4.
Taktéž obsahuje text:
< - - - - - - here 's the payload

Zajímavostí je, že se tento virus objevil přímo na WWW stránkách firmy Microsoft (!!!) a tak vzniklo ohromné množství variant.

W97M/Class


Rodina makrovirů pro Word 97....

W97M/Class.D
Aktivuje se čtrnáctého v měsících červen až prosinec. V tento den vypisuje zprávu:
I Think (Name of the current user) is a big stupid jerk!
VicodinES Loves You / Class.Poppy

Makrovirus taky někdy změní vlastníka Wordu 97 na "Dr. Diet Mountain Dew".

W97M/Class.B
Makrovirus, který se podobá variantě Class.D. Zpráva, kterou vypisuje je však mírně odlišná a navíc Class.B nemění vlastníka licence.

W97M/Class.Q
Drobně upravená varianta Class.B.

W97M/ColdApe


Polymorfní makrovirus pro Word 97. Vypouští VBScript virus (soubor C:\HAPPY.VBS), který napadá další VBS soubory. Kromě toho odesílá jednu emailovou zprávu autorovi viru (zpráva obsahuje IP adresu infikovaného souboru) na adresu avm@nym.alias.neta. Druhou emailovou zprávu odesílá antivirovému odborníkovi (tušim, že pracoval či pracuje ve Virus Bulletinu).

W97M/Ethan.A


Makrovirus infikující dokumenty Wordu 97 a šablonu NORMAL.DOT. Obsahuje pouze jedno makro "Document_Close()" v modulu "ThisDocument" (jedná se tedy o virus řady Class). Makrovirus infikuje dokumenty při jejich uzavírání.

Při infekci vypíná makrovirus antivirovou ochranu Wordu a nastaví automatické ukládání změn do globální šablony (NORMAL.DOT).

Makrovirus hledá soubor ETHAN.___ v hlavním adresáři na disku C:. Pokud tam není, vytvoří ho a nakopíruje do něj svoje tělo (makro). Pokud infikovaný soubor obsahuje další makra, nakopíruje je do něj taky. Virus používá tento soubor k infekci dalších dokumentů (uložená makra jsou překopírovány do právě infikovaného dokumentu).

Virus nastavuje souboru ETHAN.___ atributy System a Hidden. Virus taky hledá soubor C:\CLASS.SYS (vytváří ho makrovirus W97M/Class.A) a maže ho.

V závislosti na generátoru náhodných čísel virus mění informace o infikovaném dokumentu: nastavuje jeho název na "Ethan Frome", autora na "EW/LN/CB" a popis na "Ethan".

W97M/Ftip


W97M/Ftip je jednoduchoučký worm, který se rozesílá na 30 adres z každého adresáře (tato část kódu je vykradena z viru W97M/Melissa). Zaslané maily mají subject "RE:" a text: 
Chtel si ftipy, tak tady je mas!!! ;)))
[ _doplneno_skutecne_jmeno_uzivatele_ ]
---
Odchozí zpráva neobsahuje viry.
Zkontrolováno antivirovým systémem AVG (http://www.grisoft.cz).
Verze: 6.0.219 / Virová báze: 103 - datum vydání: 5.12.2000

Worm je připojen v souboru ftip.doc.

Úspešné odeslání mailu si poznačí do registry:
Klíč: "HKLM\Software\Microsoft\Windows\CurrentVersion\i0nSt0rm"
Hodnota: "...by gl"

Zdroják začíná komentáři: 
' W97/2k.i0nSt0rm
' Code by gl_st0rm
Po zavření infikovaného dokumentu zobrazí s 1/3 pravděpodobností message box s hlavičkou:
Err0r! :->
a textem:
W97/2k.i0nSt0rm code by gl_st0rm

Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG



W97M/Marker


Makrovirus pro Word 97. Svoje tělo umisťuje do modulu "ThisDocument". Marker si zapisuje do svého těla informace o infikovaném Wordu 97 (jméno uživatele...). Na začátku každého měsíce odešle nashromážděné informace na FTP server (který je zřejmě v dnešní době již zrušený).

W97M/Melissa.A


Relativně jednoduchý makrovirus, který se dokáže šířit pod Wordem z Office 97 a Office 2000. V prostředí Office 97 blokuje přístup k položce Makra v menu Nástroje a zakáže Wordu ptát se na potvrzení konverze dokumentu a uložení změn v NORMAL.DOT.
V prostředí Office 2000 W97M/Melissa nastaví antivirovou ochranu (Security level) na nejnižší možnou hodnotu. "Nejzábavnější" je schopnost tohoto viru využít instalovaný MS Outlook pro rozesílání infikovaných dokumentů. Vytáhne si prvních padesát adres z každého uživatelského adresáře a odešle na ně mail se Subjectem:
Important Message From _doplneno_vase_jmeno_
a s tímto obsahem:
Here is that document you asked for ...
don't show anyone else ;-)
Infikovaný dokument je přiložen k této zprávě. Aby to bylo ještě půvabnější, tak se W97M/Melissa neobtěžuje vytvořením nějakého nového dokumentu, ale pošle ten, na kterém právě pracujete. Takže váš (možná celkem soukromý) dokument vzápětí obdrží pár set lidí. Milá představa, že ?
Jakmile je rozesílání ukončeno, tak si Melissa do registry pro Office nastaví klíč "Melissa?" na hodnotu "... by Kwyjibo" a podle toho příště pozná, že vaše adresy už obhospodařila a nemusí se znovu namáhat.
Pokud při zavírání dokumentu odpovída datum minutě, tak W97M/Melissa vloží do vašeho textu odstaveček:
Twenty-two points, plus triple-word-score,
plus fifty points for using all my letters.
Game's over.  I'm outta here.
Ve zdrojovém textu je ještě tento komentář:
'WORD/Melissa written by Kwyjibo
'Works in both Word 2000 and Word 97
'Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!
'Word -> Email | Word 97 <--> Word 2000 ... it's a new age!

Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG



W97M/Nottice.D


Makrovirus, obsahující dvě makra: AutoOpen, WININIT. Virus infikuje dokumenty při otvírání. 13.prosince vytvoří nový dokument a vloží do něj zprávu:
IMPORTAT NOTTICE!
HANSSI A. A. IS MARRIED WITH A LOSSER.

W97M/Thus


Makrovirus šířící se v dokumentech Microsoft Wordu 97. Ostatní dokumenty napadá při třech různých událostech (otevření, uložení a založení dokumentu). Jedinou zajímavostí na tomto makroviru je destrukční činnost. Popisovaný makrovirus totiž 13. prosince ničí všechny soubory na disku C.

Zdroj: CHIP CD, Virové novinky

O97M/Tristate


Jedná se o "cross" - makrovirus, který infikuje několik součástí produktu Microsoft Office 97 - dokumenty Wordu, prezentace PowerPointu a tabulky Excelu. Makrovirus se nijak viditelně neprojevuje.

Makrovirus deaktivuje antivirovou ochranu Excelu a PowerPointu (přes registry) a ochranu Wordu (pomocí příkazu jazyka VBA).

Makrovirus obsahuje tři procedury: pro Word - Document_Close(), Excel - Workbook_Deactivate(), PowerPoint - ActionHook(). Jednotlivé procedury se pak vyvolávají podle toho, pod jakým produktem jsou spuštěny.

Makroviry obsahují text:
"Tristate.A":  
                   Triplicate v0.1 /1nternal
"Tristate.B":  
                   Triplicate v0.11 /1nternal
"Tristate.C":  
                   Triplicate v0.2 /1nternal
"Tristate.D":  
                   Triplicate v0.21 /1nternal

XM/Laroux.A


Tento makrovirus infikuje excelovské tabulky (XLS soubory). Obsahuje dvě makra: auto_open a check_files.
Popisovaná varinta se neprojevuje.

X97M/Laroux.A


Upravená verze makroviru pro Excel 97.