Autor: Czarek Krzesinski (czarekk_at_friko.onet.pl)
Data: Tue 27 Jan 1998 - 14:36:22 MET
"Michał R. Hoffmann" <misiek_at_knm.org.pl> pisal tutaj:
>> Czy ktoś wie jakie skutki wywołuje infekcja wirusem Macro.Word.Cap.A
>> i jego pozniejszymi mutacjami?
>owszem. Zaraża normal.dot. Wszystkie pliki zmienia na *.dot, pozostawiając
>rozszerzenie *.doc, co powoduje iż po wyleczeniu żaden z nich nie da się
>zapisać w innym formacie niż *.dot. Broi w makrach. Po wyleczeniu możesz się
>zdziwić, że pokazuje komunikat, że dokument zawiera makro, mimo iż go nie
>zawiera.
Witam,
Ja rowniez zlapalem tego wirusa jakis miesiac temu (z internetu, z
pl.rec.ksiazki - jakis koles sprzedawal ksiazki i spis byl w
zalaczniku w dokumencie Worda, wlasnie z ta niespodzianka). Zbytnio
sie nim nie przejalem, zarazil mi jak na razie tylko 3 pliki, pisze
duza prace do szkoly, nie chce mi sie przeinstalowywac Word'a, staram
sie nie otwierac zbednych plikow w Word'zie.
Przejdzmy do sedna. Chcialem podejrzec kod zrodlowy tego wirusa. I tu
niespodzianka. Oczywiscie wylaczyl opcje Narzedzia/Makra i
Narzedzia/Dostosuj (to drugie zreszta niepotrzebnie bo i tak jest
dostepne pod prawym klawiszem myszy nad paskami narzedziowymi), czyli
nie udalo mi sie podejrzec listy makr i rzecz jasna samych makr.
Probowalem ja wlaczyc poprzez dodanie w funkcji Dostosuj odpowiedniej
pozycji (chyba ToolsMacro) do pozycji Narzedzia na pasku narzedziowym.
Nie bylo to mozliwe - wirus chyba blokuje taka operacje.
No dobra, zainstalowalem Word'a 6.0 na innej partycji. Byl niezarazony
rzec jasna, zabezpieczylem normal.dot, sprawdzile opcje
Narzedzia/Makra itp. itd. Nastepnie zmienilem nazwe "Narzedzia" na
"Tools", otworzylem plik z wirusem (dokonana zostala infekcja).
Troszke sie zdziwilem, bo i tak usunal natychmiat przy pierwszym
uruchomieniu opcje Makra z menu kiedys Narzedzia a teraz Tools.
OK, pomyslalem sobie, mam na Ciebie jeszcze jeden sposob.
Przeinstalowalem ponownie Word'a, poszperalem w literaturze.
Stworzylem w Normal.dot w czystym Word'ie makro o nazwie AutoExec"
Sub AutoExec
DisableAutoMacros 1
MsgBox "Makro uruchomione. Czuj sie bezpieczny."
End Sub
Zamknalem Word'a (makro zostalo zapisane w normal.dot), uruchomilem
ponownie. Polecenie DisableAutoMacros 1 wylacza wykonywanie wszystkich
makr automatycznych (AutoOpen, AutoExit i innych) za wyjatkiem
AutoExec z Normal.dot. Tak zabezpieczony przystapilem do otworzenia
zainfekowanego pliku. Otworzyl sie, wirus nie zostal wykonany, opcja
Makra z menu Narzedzia nie zostala usunieta, wybieram ja, pokazuje sie
lista makr wirusa, klikam na dowolnym makrze, naciskam Edytuj i ....
zasadzka! nic sie nie dzieje - w pliku z wirusem nie mozna
podejrzec/wyedytowac zadnego z makr! Zamykam zarazony plik, otwieram
dowolny inny, i wszystko dziala w porzadku - mozna ogladac/edytowac
makra. Zatem zarazony plik jest jakos sprytnie zmodyfikowany przez
wirusa.
I tu poleglem. Dobrzy ludzie, pomocy. Jak go przechytrzyc?
Pozdrawiam,
Czarek Krzesinski
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Tue 18 May 2004 - 16:57:48 MET DST