Igiho stránka o virech
Novinky
Kniha o virech
1.Pomoc
Testy
Odkazy
Download
AV-Konference
Akce
Autor

WM/CAP.A

Tento virus je zajímavý jak svou stavbou, tak úpornou snahou šířit se za všech okolností a v každém prostředí.

Samotný virus je tvořen v podstatě jediným, poměrně rozsáhlým a komplikovaným makrem, pojmenovaným CAP (odtud tedy pochází i jméno viru). Ostatní makra, která s sebou virus nosí, mají tělo buď prázdné nebo obsahují pouze volání funkce z makra CAP.

Virus nejčastěji doprovázejí tato modifikovaná makra:
  AutoExec, AutoOpen, AutoClose,FileSave, FileSaveAs,
  FileOpen, FileClose, FileTemplates, ToolsMacro.
Kromě toho virus prohledá menu právě infikovaného Wordu a v případě potřeby (t.j. v případě, že váš Word používá lokalizované názvy vybraných položek) vytvoří další makra odpovídající těmto položkám. Všechna virová makra s vyjímkou ToolsMacro jsou zakryptována a jejich komentář začíná znaky F%.

Ke ztížení vlastního odhalení využívá CAP vynikající možnosti modifikovat samotný Word. Díky tomu není pro virus obtížné odstranit z menu Nástroje (Tools) položky Makro (Macro) a Vlastní (Customize). Položka Šablony (Templates) v menu Soubor (File) zůstává, ale je nefunkční díky jejímu přiřazení k prázdnému makru.

Poměrně značnou péči věnoval autor také aktivní podpoře šíření svého díla. Virus obsahuje příkaz, který nastaví (pochopitelně bez vašeho vědomí) automatické ukládání dokumentů každých 10 minut.

Virus je dokonce schopen šíření i v případě, že používáte k přenosu dokumentů formát .RTF (Reach Text Format), který není schopen nést makra. Funkce uložení souboru je totiž modifikována tak, aby i soubory, které ukládáte jako RTF měly interní strukturu šablony a mohly tedy obsahovat makra.

CAP neobsahuje žádné viditelné projevy ani úmyslnou škodlivou činnost, pomineme-li, že z každého infikovaného dokumentu odstraní všechna makra, která tam byla před jeho nástupem.

Virus pochází z Venezuely, což lze usoudit z komentáře obsaženého v hlavní funkci makra CAP:
  C.A.P: Un virus social.. y ahora digital..
  "j4cKy Qw3rTy" (jqw3rty@hotmail.com).
  Venezuela, Maracay, Dic 1996.
  P.D. Que haces gochito ?
  Nunca seras Simon Bolivar.. Bolsa !

Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG

Zpět