Macro.Excel97/Word97.Halfcross
Macro.Excel97/Word97.Hopper, семейство
Macro.Excel97/Word97.Teocatl
Macro.Office97.Triplicate

В незафрованном виде хранятся только макросы-перехватчики событий и процедура расшифровки кода вируса. Вирус перехватывает закрытие таблиц Excel, открытие и закрытие Word-документов (Workbook_Deactivate, Document_Open, Document_Close). Во всех перечисленных случаях вызывается процедура заражения. Вирус также создает зараженный файл BOOK1 в каталоге авто-запуска Excel.

Вирус отключает встроенную в MS Office защиту от макро-вирусов (Virus Warning). В 12 часов дня в период с 10 до 25 минут вирус выдает сообщение:

Wonder v2.0 by ThE wEiRd GeNiUs
Its time for lunch <UserName>

где <UserName> - имя текущего пользователя

В Excel размножение происходит при деактивации книги (Workbook_Deactivate). В Word размножение вируса происходит при закрытии документов (Document_Close). Ранние версии вируса размножаются только из Excel в Word.

Вирусы выключают опцию VirusProtection. В зависимости от версии содержат строки комментария или выводят MessageBox-ы:

Ex-cell v0.1 /1nternal
Cross.BadSeed v0.1 /1nternal
Cross.BadSeed v0.2 /1nternal
Cross.BadSeed v0.3 /1nternal
Cross.BadSeed v0.4 /1nternal

Вирус состоит из одного модуля с именем StrangeDays и содержит восемь макросов:

AutoClose - авто-макрос Word, содержит процедуру заражения
AutoOpen - авто-макрос Word, запрещает редактор VisualBasic (стелс)
AutoExit - авто-макрос Word, вызывает AutoClose для заражения
ToolsMacro - блокирует просмотр макросов (стелс)
ToolsOptions - блокирует просмотр макросов (стелс)
FileTemplates - блокирует просмотр макросов (стелс)
ViewVBCode - блокирует просмотр макросов (стелс)
Auto_Open - авто-функция Excel, перехватывает активизацию таблиц

Размножается не только в «родном» приложении (Word->Word, Excel->Excel), но и переносит свой код в другое приложение MS Office (Word->Excel и Excel->Word). В обоих случаях заражения (документы Word и таблицы Excel) имеет один и тот же Бейсик-код, совпадающий вплоть до байта — вирус написан столь аккуратно, что один и тот же код без ошибок выполняется как макросы Word, так и функции Excel.

Для заражения «родных» файлов (документов или таблиц) вирусом используются функции VisualBasic Import и Export: вирус записывает (экспортирует) свой Бейсик-текст в файл C:\LO.SYS и затем считывает (импортирует) его в текущий документ (в случае Word) или активную таблицу (в случае Excel). В случае Word для заражения документов вирус перехватывает авто-макросы AutoClose и AutoExit и записывается в документы при их закрытии и при выходе из Word. В случае Excel вирус при помощи авто-функции Auto_Open при открытии зараженной таблицы перехватывает процедуру активизации таблиц Excel.

Для заражения других приложений Office вирус использует авто-загрузку файлов из startup-каталогов Word и Excel: вирус для заражения Word из Excel вирус создает в каталоге Word новый файл NORMAL.DOT, для заражения Excel из Word — новый файл PERSONAL.XLS.

Оба NORMAL.DOT и PERSONAL.XLS содержат короткую 17-командную программу, которая является не кодом вируса, а загрузчиком этого кода. Этот загрузчик имеет авто-имя (Auto_Close в Excel и AutoExec в Word) и автоматически выполняется когда Word запускается с зараженным NORMAL.DOT или Excel закрывает зараженный PERSONAL.XLS. В этот момент загрузчик вируса считывает (импортирует) полный код вируса из файла C:\LO.SYS (т.е. вирус заражает NORMAL.DOT или PERSONAL.XLS своим полным кодом). Результат затем сохраняется в первоначальном файле (NORMAL.DOT или PERSONAL.XLS) и при следующей загрузке Word или Excel вирус продолжает свое распространение.

Вирус использует стелс- и анти-антивирусные приемы: блокирует пункты меню Tools/Macro, Tools/Options, File/Templates, View/VBCode, выключает редактор VisualBasic и встроенную в Office97 защиту от вирусов.

По 26-м числам ежемесячно вирус уничтожает файлы в текущем каталоге и выводит MessageBox:

Strange Days by Reptile/29A
Strange days have found us
Strange days have tracked us down
They're going to destroy...

Вирус отключает антивирусные защиты Word, Excel и PowerPoint. Защита Word выключается обычными командами VisualBasic. Защиты Excel и PowerPoint отключаются непосредственно в системном реестре Windows. При этом вирус отключает их во всех возможных местах расположения в каталогах CURRENT_USER, LOCAL_MACHINE и USERS.

Вирус содержит три процедуры, написанные на VBA5 (Visual Basic for Application) - "Document_Close()" для Word 97, "Workbook_Deactivate()" для Excel 97 and "actionhook()" для PowerPoint97. Каждая из этих процедур при активизации под соответствующим приложением Office вызывает подпрограмму размножения вируса, переносящую его в другие объекты данного приложения и в два других приложения Office.

Известно как минимум 4 различные версии вируса. Две из них практически совпадают с предыдущими версиями вируса за исключением исправленных ошибок. Последние версии вируса использует ошибку в защите MS Word97. Специально подготовленный Word-документ, расположенный на хакерском Web-сервере, "дотягивал" и загружал в Word зараженный темплейт, расположенный на том же Web-сервере (см. снимок экрана). Таким образом, при скачивании с сервера и открытии на локальном компьютере незараженного документа вирус проникал в компьютер и заражал его. При этом стандартная защита от вирусов, встроенная в MS Word97, не срабатывала на подобную "обманку", и вирусный макро-код не опознавался Word-ом как потенциально опасный.

Вирусы содержат комментарии:

"Triplilcate.a": <!--1nternal-->
Triplicate v0.1 /1nternal
"Triplilcate.b": <!--1nternal-->
Triplicate v0.11 /1nternal
"Triplilcate.c": <!--1nternal-->
Triplicate v0.2 /1nternal
"Triplilcate.d": <!--1nternal-->
Triplicate v0.21 /1nternal

Заражение из Word-документа

При активизации из зараженного документа Word вирус первым делом отключает антивирусную защиту Word и проверяет область глобальных макросов (файл NORMAL.DOT) на зараженность. Если это файл еще не заражен, вирус запускает процедуру заражения компонентов MS Office. Эта процедура состоит из трех частей: заражение Word, заражение Excel и заражение PowerPoint.

1. Процедура, заражающая Word, является самой простой в вирусе. Она простым копированием переносит код вируса в область глобальных макросов Word (NORMAL.DOT).

2. Заражение Excel является более сложным. Сначала вирус пытается запустить новый экземпляр Excel, вызвав функцию CreateObject("Excel.Application"). Затем вирус ищет в стартовом каталоге Excel файл с именем BOOK1 (файлы из этого каталога автоматически загружаются при старте Excel). Если такого файла не обнаружено, вирус переходит к заражению Excel. Во время заражении вирус отключает встроенную в Excel защиту от макро-вирусов, создает новую таблицу, копирует в ее область макросов свой код и записывает эту таблицу в стартовый каталог Excel в файл и именем BOOK1.

3.Процедура заражения PowerPoint во многом похожа на заражение Excel. Вирус запускает новый экземпляр PowerPoint, ищет в системном шаблоне PowerPoint (файл с именем 'Blank Presentation.pot') модуль, который называется 'Triplicate' и, если не находит, заражает этот файл. Заражение происходит следующим образом: вирус отключает встроенную в PowerPoint защиту от макро-вирусов, создает новый модуль 'Triplicate' в файле 'Blank Presentation.pot', копирует туда свой вирусный код, добавляет в этот же файл новую скрытую форму и устанавливает процедуру активации этой формы на свой код (эта процедура вызывается каждый раз, когда пользователь "кликает мышкой" по данной форме).

В завершение вирус проверят текущий активный документ и заражает его, если вирусный код в нем не обранужен. Данная часть процедуры заражения отрабатывает в том случае, когда система уже заражена и Word закрывает новый еще незараженный документ.

Заражение из таблиц Excel и презентаций PowerPoint

Вирусные процедуры, которые активизируются при открытии зараженных файлов Excel и PowerPoint, очень похожи друг на друга за исключением некоторых деталей.

Прежде всего вирус проверяет наличие файла BOOK1 в стартовом каталоге Excel и, если такой файл не обнаружен, то вирус считает систему еще не зараженной и внедряется в нее. Первым делом вирус заражает Word.

1. При заражени Word вирус за две попытки получает экземпляр объекта 'Word.Application'. Сначала вирус пытается получить экземпляр уже запущенного приложения и использует для этого функцию GetObject(), затем, если произошла ошибка обращения к объекту, вирус вызывает CreateObject(). Данный прием используется для того, чтобы вирус получил возможэность записи своего кода в файл NORMAL.DOT, который в случае уже работающего Word оказывается закрыт на запись. Если Word не активен, вирус получает объект 'Word.Application' обычным путем - функцией CreateObject().

Затем вирус удаляет из шаблона NORMAL.DOT весь присутствующий в нем код, создает там новую процедуру с именем DisableAV(), копирует туда часть своего кода (весьма короткая процедура - всего 8 команд), затем вызывает и удаляет ее. Данная процедура отключает антивирусную защиту Excel и PowerPoint в системном реестре. Затем вирус копирует свой код в область глобальных макросов (NORMAL.DOT).

2. Заражение Excel/PowerPoint. На этом этапе процедура заражения переносит код вируса из Excel в PowerPoint или наоборот в зависимости от типа уже зараженного приложения. Данная процедура совпадает с аналогичной, использующейся вирусом при заражении Excel и PowerPoint из документа Word.

В случае, если вирус стартовал из таблицы Excel, то в конце своей работы он также заражает текущую таблицу Excel.

Процедура активации вируса в PowerPoint имеет дополнительную деталь: она вызывается с вероятностью 1/7 в зависимости от системного датчика случайных чисел.