Msg : Prev 935 / 4681 Next +937
1995-08-26 15:47:20

To  : All

Subj:

Вирус для WinWord


============================================================================= 
* Forwarded by Alik Trakhtman (2:465/10) 
* Area : _RELCOM.COMP.VIRUS (Компьютерные вирусы (релком)) 
* From : Eugene Kaspersky, 2:5020/156 (Thursday August 24 1995 14:32) 
* To : All 
* Subj : Вирус для WinWord 
============================================================================= 
X-RealName: Eugene Kaspersky 

* Crossposted in REL.COMP.VIRUS 
* Crossposted in AVP.SUPPORT 
* Crossposted in SU.VIRUS 

Hi, All! 

Появился вирус, заражающий DOC-файлы формата WinWord ver.6. Заражение системы 
происходит при *редактировании* зараженного DOC-файла. После заражения вирус 
записывается во все вновь создаваемые DOC-файлы. 

Так что будьте осторожны с документами, которые вы получаете! 


При открытии документа Word вызывает макросы документа. Если документ заражен, 
то Word вызывает *зараженные* макросы, т.е. содержащие код вируса. Вирус 
переносит свои макросы в область глобальных макросов, определяет макрос 
FileSaveAs, а затем копирует свои макросы в каждый DOC-файл, сохраняемый через 
команду "Save As". 

При выходе из WinWord глобальные макросы (включая вирус) автоматически 
записываются в DOT-файл глобальных макросов. Таким образом, при следующем 
запуске WinWord вирус активизируется в тот момент, когда WinWord грузит 
глобальные макросы, т.е. сразу. 

В зараженном файле присутствуеют строки: 

see if we're already installed 
iWW6IInstance 
AAAZFS 
AAAZAO 
That's enough to prove my point 

и много других. 

В зараженной системе в файле WINWORD6.INI присутствует строка 

WW6I= 1 

При первом запуске вируса (т.е. при первом просмотре зараженного файла) 
появляется MessageBox с цифрой 1 внутри. 


Комментарии: 

1. Вирус был замечен "в живом виде" в US, UK и Финляндии. Распространяться 
вирус будет с бешеной скоростью, особенно по банкам и офисам. 

2. Сей вирус, судя по всему, может поражать файлы формата WinWord6 на 
компьютерах *любого класса*, а не только IBM-PC. 

3. Эксперименты показали, что вирус замечательно живет под WinWord7 и WinWord6 
for NT. 

4. Сегодня выйдет AVP update, коий будет детектировать сей вирус (только в 
режиме Redundand). 

5. Сегодня-завтра выйдет лечилка на сей вирус. 

6. Системы типа ADINF/SHERIFF против такого вируса бессильны (это в качестве 
продолжения дискуссии). 


Eugene Kaspersky 

-$- GoldED 2.42.G1219+ 
# Origin: NetRaider BBS Zyx19 24h +7-095-278-9949 (2:5020/156) 

-+- 
+ Origin: Phantom of Infinity Soft Labs (Gid:fidonet.org) (2:5020/156.0) 
============================================================================= 

Приветствую, All! 


С наилучшими пожеланиями - Alik 

--- GoldED/2 2.50.A0715+ 
* Origin: MedNet (2:465/10) 
VX Heavens - коллекция вирусов,исходников и статей.
Нажми Alt + End, чтобы перейти к последнему сообщению
Пользовательского поиска