Autor: R.Zylla (zylla_at_ck-sg.p.lodz.pl)
Data: Tue 27 Jan 1998 - 18:06:19 MET
At 15:04 98-01-27 +0100, you wrote:
>"Michał R. Hoffmann" <misiek_at_knm.org.pl> pisal tutaj:
>>> Czy ktoś wie jakie skutki wywołuje infekcja wirusem Macro.Word.Cap.A
>>> i jego pozniejszymi mutacjami?
>>owszem. Zaraża normal.dot. Wszystkie pliki zmienia na *.dot, pozostawiając
>>rozszerzenie *.doc, co powoduje iż po wyleczeniu żaden z nich nie da się
>>zapisać w innym formacie niż *.dot. Broi w makrach. Po wyleczeniu możesz się
>>zdziwić, że pokazuje komunikat, że dokument zawiera makro, mimo iż go nie
>>zawiera.
>
>Witam,
>
>Ja rowniez zlapalem tego wirusa jakis miesiac temu (z internetu, z
>pl.rec.ksiazki - jakis koles sprzedawal ksiazki i spis byl w
>zalaczniku w dokumencie Worda, wlasnie z ta niespodzianka). Zbytnio
>sie nim nie przejalem, zarazil mi jak na razie tylko 3 pliki, pisze
>duza prace do szkoly, nie chce mi sie przeinstalowywac Word'a, staram
>sie nie otwierac zbednych plikow w Word'zie.
>
>Przejdzmy do sedna. Chcialem podejrzec kod zrodlowy tego wirusa. I tu
>niespodzianka. Oczywiscie wylaczyl opcje Narzedzia/Makra i
>Makra z menu Narzedzia nie zostala usunieta, wybieram ja, pokazuje sie
>lista makr wirusa, klikam na dowolnym makrze, naciskam Edytuj i ....
>zasadzka! nic sie nie dzieje - w pliku z wirusem nie mozna
>podejrzec/wyedytowac zadnego z makr! Zamykam zarazony plik, otwieram
>dowolny inny, i wszystko dziala w porzadku - mozna ogladac/edytowac
>makra. Zatem zarazony plik jest jakos sprytnie zmodyfikowany przez
>wirusa.
>
>I tu poleglem. Dobrzy ludzie, pomocy. Jak go przechytrzyc?
Tez od dwoch dni walcze z tym problemem i oto co mi
powiedzial znany wirusolog komputerowy V. Bontchev:
(niestety calosc korespondencji jest po angielsku)
=================== poczatek cytatu ======================
> I've got a problem with several files. When I look in text
> mode (NC view) at the end of file I can clearly see strings:
> CAP FileOpen etc typical for file infected with CAP macro.
The files xxxx.DOC and yyyyy.DOC have been infected in the past
by some variant of CAP. Then they have been disinfected with
some rather sloppy anti-virus program. Not with F-MACROW or
F-MACRO; they wouldn't have done such a mess.
^^^^^^^^^^^^^^
taki burdel ( przypisek tlumacza)
As a result, the body of the viral macros has been wiped with
zeroes - but the macro names (and some other information)
haven't been removed. This explains why you're able to see
them. However, the document is not infective any more
- since the virus in it is wiped.
========================== koniec cytatu ========================
No i teraz zagadka: Jaki znany polski program antywirusowy
udaje, ze potrafi prawidlowo usunac wirusy makro z dokumentow
Worda ?
>Pozdrawiam,
>Czarek Krzesinski
Zaraz umieszcze na swojej stronie AV dokument na temat walki
z wirusami Macro - pochodzi z CIAC i jest po angielsku.
http://wipos.p.lodz.pl/av/ciac-i23.txt (albo .html :)
moze komus sie przyda ?
>
-- Romek ============= PeCetologia to nauka experymentalna ==============
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Tue 18 May 2004 - 16:57:50 MET DST