WM/CAP.A
Samotn² virus je tvo°en v podstat∞ jedin²m, pom∞rn∞ rozsßhl²m a komplikovan²m makrem, pojmenovan²m CAP (odtud tedy pochßzφ i jmΘno viru). Ostatnφ makra, kterß s sebou virus nosφ, majφ t∞lo bu∩ prßzdnΘ nebo obsahujφ pouze volßnφ funkce z makra CAP.
Virus nejΦast∞ji doprovßzejφ tato modifikovanß makra:
AutoExec, AutoOpen, AutoClose,FileSave, FileSaveAs, FileOpen, FileClose, FileTemplates, ToolsMacro.Krom∞ toho virus prohledß menu prßv∞ infikovanΘho Wordu a v p°φpad∞ pot°eby (t.j. v p°φpad∞, ₧e vßÜ Word pou₧φvß lokalizovanΘ nßzvy vybran²ch polo₧ek) vytvo°φ dalÜφ makra odpovφdajφcφ t∞mto polo₧kßm. VÜechna virovß makra s vyjφmkou ToolsMacro jsou zakryptovßna a jejich komentß° zaΦφnß znaky F%.
Ke ztφ₧enφ vlastnφho odhalenφ vyu₧φvß CAP vynikajφcφ mo₧nosti modifikovat samotn² Word. Dφky tomu nenφ pro virus obtφ₧nΘ odstranit z menu Nßstroje (Tools) polo₧ky Makro (Macro) a Vlastnφ (Customize). Polo₧ka èablony (Templates) v menu Soubor (File) z∙stßvß, ale je nefunkΦnφ dφky jejφmu p°i°azenφ k prßzdnΘmu makru.
Pom∞rn∞ znaΦnou pΘΦi v∞noval autor takΘ aktivnφ podpo°e Üφ°enφ svΘho dφla. Virus obsahuje p°φkaz, kter² nastavφ (pochopiteln∞ bez vaÜeho v∞domφ) automatickΘ uklßdßnφ dokument∙ ka₧d²ch 10 minut.
Virus je dokonce schopen Üφ°enφ i v p°φpad∞, ₧e pou₧φvßte k p°enosu dokument∙ formßt .RTF (Reach Text Format), kter² nenφ schopen nΘst makra. Funkce ulo₧enφ souboru je toti₧ modifikovßna tak, aby i soubory, kterΘ uklßdßte jako RTF m∞ly internφ strukturu Üablony a mohly tedy obsahovat makra.
CAP neobsahuje ₧ßdnΘ viditelnΘ projevy ani ·myslnou Ükodlivou Φinnost, pomineme-li, ₧e z ka₧dΘho infikovanΘho dokumentu odstranφ vÜechna makra, kterß tam byla p°ed jeho nßstupem.
Virus pochßzφ z Venezuely, co₧ lze usoudit z komentß°e obsa₧enΘho v hlavnφ funkci makra CAP:
C.A.P: Un virus social.. y ahora digital.. "j4cKy Qw3rTy" (jqw3rty@hotmail.com). Venezuela, Maracay, Dic 1996. P.D. Que haces gochito ? Nunca seras Simon Bolivar.. Bolsa !
Zdroj: Grisoft software s.r.o. - v²robce antiviru AVG
