|
Macro.Word-вирусы
|
| shaman |
Дата: Вторник, 12.10.2010. Сообщение # 151
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.Jakutsk
Безобидный макро-вирус. Содержит два макроса, принимающих различные имена в документах и NORMAL.DOT:
Documents NORMAL.DOT
CopySaveAs FileSaveAs
AutoOpen CopyOpen
Заражает документы при их записи с другим именем (FileSaveAs), область глобальных макросов заражает при открытии зараженного документа. Содержит закомментированный текст:
/////////////////////////////////
/Made in Jakutsk by me /
/That's engoy to prove my power /
/Say by to you files /
/  /
/////////////////////////////////
|
| |
|
|
|
| shaman |
Дата: Вторник, 12.10.2010. Сообщение # 152
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.Jerm
Cодержит 3 макроса:
Документы NORMAL.DOT
AutoOpen AO
FS FileSave
worms worms
Записывается в область глобальных макросов при открытии зараженного документа (AutoOpen), а в документы при их сохранении. Никак себя не проявляет.
|
| |
|
|
|
| shaman |
Дата: Вторник, 12.10.2010. Сообщение # 153
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.Jonny
Зашифрован, содержит 6 макросов, из которых 4 являются основными макросами, а 2 оставшихся - копиями, использующимися при заражении. Макросы в NORMAL.DOT и документах имеют различные имена:
NORMAL.DOT Документы
Macro1 Presentv Presentv
AutoOpen
Macro2 Presentw Presentw
FileSaveAs
Macro3 Presentz Presentz
FileSave FileSave
Macro4 vGojohnny vGojohnny
Вирус заражает общие макросы при AutoOpen, документы - при FileSave и FileSaveAs. В некоторых случаях создает новый документ с текстом:
NAIPESVOH REHM
Затем выводит в StatusLine:
Starting Autosave
Вирус также содержит закомментированную строку:
Our devise - A copy of "Go Johnny Go" on every computer !
|
| |
|
|
|
| shaman |
Дата: Вторник, 12.10.2010. Сообщение # 154
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.Joxzin
Итальянский Word-макро-вирус. Содержит 4 макроса в документах: AutoClose, AutoOpen, NoMercyE, NoMercyI. В NORMAL.DOT дополнительно содержит еще 2 макроса: ToolsMacro и FileTemplates (стелс). Вирус размножается при открытии или закрытии документов. Содержит команды размножения как для итальянского, так и для английского Word. В начале каждого макроса имеется комментарий:
VirusName : WM. Joxzin
Author : Foxz [NoMercy]
Origin : Yogyakarta, Indonesia
WordVersion : Italian and English
Dedicated to: Italian and Indonesian Macro Viruses Creator
|
| |
|
|
|
| shaman |
Дата: Вторник, 12.10.2010. Сообщение # 155
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.Junk
Семейство полиморфных стелс-макро-вирусов. Содержат 2 макроса в документах (AutoClose, NoMercy) и 3 в NORMAL.DOT (AutoClose, ToolsMacro, FileTemplates). При закрытии зараженного документа (AutoClose) заражают NORMAL.DOT, при этом макрос NoMercy копируется в макросы ToolsMacro и FileTemplates. Документы заражаются также при их закрытии. При заражении вирус меняет код макроса AutoClose путем замены блоков символов на набор других случайно сгенеренных символов. По 11-м числам выдают MessageBoxes:
"Junk.a":
WELCOME AGAIN!
Hi you!! my name is Junkies! ©NoMercy 1997
"Junk.b,c":
©NoMercy
The Junkies was back!
|
| |
|
|
|
| shaman |
Дата: Вторник, 12.10.2010. Сообщение # 156
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.K302
Полиморфный макро-вирус, содержит 3 макроса с именами: AutoOpen, body, m. Размножается при открытии документов (AutoOpen). Никак себя не проявляет. Содержит строку-комментарий: «k302».
Имеет достаточно оригинальную структуру: основная заражающая процедура в вирусе закомментирована. При размножении вирусный авто-макрос переносит ее во временный макрос, удаляет символ комментария, выполняет и затем удаляет его.
|
| |
|
|
|
| shaman |
Дата: Вторник, 12.10.2010. Сообщение # 157
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.Kann
Примитивный макро-вирус. Cодержит 3 макроса: AO, AutoOpen, AutoClose. Размножается при открытии документов (AutoOpen). При закрытии выдает MessageBox:
Schwerer Ausnahmefehler!
Kann auf Gerфt nicht schreiben!
|
| |
|
|
|
| shaman |
Дата: Вторник, 12.10.2010. Сообщение # 158
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.Kerranga
Очень опасен. Содержит пять макросов: Autoexec, FileSaveAs, FileOpen, FilePrintDefault, ToolsMacro. При вызове AutoExec выключает запрос на изменение файла NORMAL.DOT и встроенную в Word антивирусную защиту, если таковая присутствует в меню Tools/Options/General. При FileOpen и FileSaveAs вызывает процедуру заражения. При вызове ToolsMacro открывает 64 новых документа и блокирует вызов меню Tools/Macro. При вызове FilePrintDefault в 18:00 вирус добавляет в конец документа строку:
Kerbaffely Urgo Kerranga! Kerranga!!!!
Затем уничтожает файлы *.DOC в текущем каталоге.
|
| |
|
|
|
| shaman |
Дата: Вторник, 12.10.2010. Сообщение # 159
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.Kiffer
Немецкий полиморфный макро-вирус. Содержит 6 макросов. При заражении вирус копирует часть максросов со случайно выбранными (random) именами:
Документы MICROSOFT.DOT (зараженный Word)
<random> dateispeichernunter
extrasmakro extrasmakro
dateischlie#en <random>
dateidokvorlagen dateidokvorlagen
<random> <random>
autoopen <random>
Заражение системы происходит при открытии и закрытии документов: в каталоге автозапуска Word создается зараженный файл MICROSOFT.DOT. Заражение документов происходит при их сохранении с другим именем. Процедура заражения находится в макросе со случайным именем, этот макрос в документах присутствует в зашифрованном варианте и в процессе работы расшифровывается. Имена random-макросов хранятся в переменных документа (в случае зараженного докеумента), или в системных файлах WIN.INI в разделе [embedding] в пунктах vxdRNDM, TaskRNDM, SystemRNDM (в случае файла MICROSOFT.DOT). По 30-м числам вирус выводит сообщение:
Leeglize Cannabis !! R.M.M © by MaD KiFFeR 05.09.98
По 15-м числам добавляет в файл AUTOEXEC.BAT команды, которые выводят в цикле строку:
Infected with RnDm MuTanT MuTaGeN © MaD KiFFeR 05.09.98
Вирус содержит комментарии:
***********************************
* WM RnDm MuTaNt MuTaGeN *
* vers Beta *
* Polymorphism/Stealth *
* encrypted by RMEG *
*Random Macro Encryption Generator*
* fools F/WIN32 1.13, F/WIN 4.38 *
* Winguard, F-PROT3/F-MacroW1.1 *
* etc.!! *
* only works with WORD95ger *
* F**k slow WordBasic *
* special Thanx to [SLAM] Mag *
* 05.09.98 /Germany *
* ©by MaD KiFFer *
***********************************
|
| |
|
|
|
| shaman |
Дата: Вторник, 12.10.2010. Сообщение # 160
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.KillDLL
Очень опасен. Содержит единственный макрос: AutoOpen. При открытии файла заражает систему, если файл уже заражен. В противном случае заражает сам файл. Затем уничтожает все файлы по маске *.D?? в каталоге C:\WINDOWS\SYSTEM\. |
| |
|
|
|
| shaman |
Дата: Вторник, 12.10.2010. Сообщение # 161
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.KillDos
ЉЁв ©бЄЁ© ¬ Єа®-ўЁагб. ‘®¤Ґа¦Ёв Ґ¤ЁбвўҐл© ¬ Єа®б AutoOpen Ё § а ¦ Ґв бЁб⥬㠨 ¤®Єг¬Ґвл ЇаЁ Ёе ®вЄалвЁЁ. Џ® ЇҐаўл¬ зЁб« ¬ ўл¤ Ґв InputBox ЄЁв ©бЄ®¬, Ї®б«Ґ 祣® ЇаЁ ҐЇа ўЁ«м®¬ ®вўҐвҐ бвЁа Ґв д ©«л C:\DOS\*.* |
| |
|
|
|
| shaman |
Дата: Вторник, 12.10.2010. Сообщение # 162
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.KillProt
Зашифрованный макро-вирус. Содержит 4 макроса: AutoOpen, FileSaveAs, FileOpen, ToolsMacro. Заражает область глобальных макросов при вызовах AutoOpen и ToolsMacro, документы заражаются при FileOpen и FileSaveAs. Создает в системных переменных Windows (файл WIN.INI) переменную "Count=" в секции "Infector" и увеличивает ее при каждом сохранении файла с новым именем (FileSaveAs). При каждом 10-м сохранении устанавливает у файла пароль "WhatTheHell", иначе конвертирует файл в темплейт. При вызовах AutoOpen уничтожает макросы антивируса ScanProt: AutoExit, InstVer, ShellOpen |
| |
|
|
|
| shaman |
Дата: Вторник, 12.10.2010. Сообщение # 163
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.KillSystem
Очень опасные вирусы. В зависимости от версии вируса содержат один макрос - Autoexec или AutoOpen. По 1-м числам любого месяца уничтожают файлы: C:\COMMAND.COM, C:\AUTOEXEC.BAT, C:\CONFIG.SYS. Вирус содержит строки на китайском. |
| |
|
|
|
| shaman |
Дата: Вторник, 12.10.2010. Сообщение # 164
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.Killuf, семейство
Вирусы семейства содержат 3 макросa: AutoClose, VisioOpen, VisioClose. Размножаются при закрытии документа (AutoClose). "Переползают" от одного файла к другому - при заражении другого файла удаляют себя из предыдущего. Имя текущего зараженного файла храниться в пункте файла WINWORD6.INI в разделе [Microsoft Word] с именем LUF01. С 1 января 1999 года стирают на всех дисках во всех каталогах файлы: *.DOC, *.PPT, *.XL?, *.MPP, *.WPS, *.MDB, после чего выдается MessageBox:
HAPPY NEW YEAR FOLKS !
|
| |
|
|
|
| shaman |
Дата: Вторник, 12.10.2010. Сообщение # 165
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.Kilok
Семейство Word-макро-вирусов. Отличаются тем, что код заражения присутствует в макросах вируса в виде зашифрованных текстовых строк. При необходимости вирус создает новый макрос, переносит туда эти текстовые строки, расшифровывает их и запускает на выполнение. Программа заражения получает управление и переносит основной код вируса в NORMAL.DOT или заражаемые документы. "Kilok.a" содержит единственный макрос - AutoOpen. "Kilok.b" содержит 2 макросa - FileClose, NoMercy. Содержит закомментированный текст:
--------------------------------------\
a Virus from NoMercy!!!
http://www.geocities.com/researchtriangle/3996
any critics, suggestions are welcome!
Yogyakarta, May/15/1997
-------------------------------------/
"Kilok.c,d" содержит 2 макросa в документах (AutoClose, NoMercy) и 3 макроса в NORMAL.DOT (AutoClose, ToolsMacro и FileTemplate). Содержит тот же закомментированный тект, что и в предыдущем вирусе.
|
| |
|
|
|
| shaman |
Дата: Вторник, 12.10.2010. Сообщение # 166
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.Komcon
Содержит 2 макросa: AutoOpen, AutoClose. Заражает систему при открытии зараженного файла (AutoOpen). Записывается в документы при их закрытии (AutoClose). Никак себя не проявляет. |
| |
|
|
|
| shaman |
Дата: Вторник, 12.10.2010. Сообщение # 167
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.Kompu
Содержит два макроса: AutoOpen и AutoClose. Заражает область глобальных макросов при AutoOpen, записывается в файлы при AutoClose. По 6-м и 8-м числам ежемесячно выводит InputBox с текстом:
Tahan kommi!
Mul on paha tuju!
и ждет ввода строки "komm". Затем выводит в Status Line строку:
Nфmm-Nфmm-Nфmm-Nфmm-Amps-Amps-Kl0mps-Kr00k!
Также содержит закомментированный текст:
Makroviirus Kompu
|
| |
|
|
|
| shaman |
Дата: Пятница, 05.11.2010. Сообщение # 168
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.Lazy
Зашифрован, содержит два макроса: AutoOpen и Lazy. Заражает систему открытии зараженного файла, в документы записывается при из открытии. По 13-м пятницам устанавливает у документов пароль. |
| |
|
|
|
| shaman |
Дата: Пятница, 05.11.2010. Сообщение # 169
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.Legends
Зашифрован, содержит два макроса: AutoOpen и FilePrint. Размножается при открытии документов. 4 февраля и 15 октября при печати вставляет в конец документа строку:
Happy Birthday!
Содержит комментарий:
Legends virus v1.0
Legends Inc.
|
| |
|
|
|
| shaman |
Дата: Пятница, 05.11.2010. Сообщение # 170
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.Lemon
Зашифрован, содержит два макроса, принимающих в документах и NORMAL.DOT различные имена:
Документы NORMAL.DOT
AutoOpen AutoOpen
Lemon Melon
В зависимости от текущей даты и случайного счетчика вирус выводит MessageBox:
!!LEMON!!!!MELON!!
!!MELON!!!!LEMON!!
Макрос Lemon (Melon) содержит строки:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!MELONLEMONMELONLEMONMELONLEMONMELONLEMONMELONLEMONMELON!!
!!MELONLEMONME LONLEMONMELONLEMONMELONLEMONMELONLEMONMELON!!
. . .
!!MELONLEMONMELONLEMONMELONLEMONMELONLEMONMELONLEMONMELON!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
|
| |
|
|
|
| shaman |
Дата: Пятница, 05.11.2010. Сообщение # 171
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.Ler
Зашифрован, содержит два макроса в документах: AutoOpen и hitler. В NORMAL.DOT содержит 4 макроса: AutoExec, AutoOpen, Autoeopen, hitler. Размножается при открытии документов. 15 апреля выдает MessageBox:
Hitler
India Is Great
На диске C: создает каталоги со случайными именами, в которые записывает файл HITLER.TXT. Файл содержит строки:
MSWORD is infected by a new virus HITLER
Date = <текущая дата>
Time = <текущее время>
|
| |
|
|
|
| shaman |
Дата: Пятница, 05.11.2010. Сообщение # 172
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.LoneRaider
Зашифрован, содержит единственный макрос - LoneRaider. Этот макрос не является автоматическим, поэтому вирус может быть запущен только пользователем командой Tools/Macro/Run. При запуске вирус копирует себя в текущий документ (заражает его). Основной особенностью вируса является то, что для этого он не использует ни одной стандартной команды копирования макросов, а создает и запускает новый макрос "LoneRaiderTwo", который копирует код "родителя". Для этого вирус вызывает команду Tools/Macro/Edit и редактирует новый макрос "LoneRaiderTwo": записывает в него команды WordBasic (включая MakroKopieren - MacroCopy), затем запускает и удаляет его командами Tools/Macro/Run и Tools/Macro/Delete. При запуске макрос "LoneRiderTwo" копирует родительский макрос "LoneRaider" в заражаемый документ или область общих макросов. 1-го января вирус создает новый template и записывает в него строки:
Enjoy the first F/WIN Killer!
LoneRaider!
Nightmare Joker
1996
|
| |
|
|
|
| shaman |
Дата: Пятница, 05.11.2010. Сообщение # 173
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.Lordsatan
Зашифрован, содержит 2 макроса: AutoOpen, FileOpen. Записывается в область глобальных макросов при открытии зараженного документа (AutoOpen). Документы заражает также при их открытии (FileOpen). В файле WINWORD6.INI в разделе [Compatibility] в строке MSWORD указывает номер своего поколения, при достижении 500 выдает MessageBox " 500 ". В комментариях к тексту вируса содержится строка "LordSatan". |
| |
|
|
|
| shaman |
Дата: Пятница, 05.11.2010. Сообщение # 174
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.Louvado
Зашифрован, в документах содержит единственный макрос: AutoOpen. В NORMAL.DOT этот макрос копируется под 13 именами: AutoClose, AutoNew, AutoOpen, AutoExit, FileOpen, FileNew, FileSaveAs, FileClose, FileSave, FileSaveAll, Alevirus, Delta, SaoCaetanoDoSul. Вирус записывается в область глобальных макросов при открытии документа (AutoOpen). Документы заражает при вызове любого из перечисленных выше макросов (т.е. при создании, открытии, закрытии, сохранении и т.д.). Записывает в поле Subject в FileSummaryInfo документа строку:
Alevirus and Delta first virii Macro 1997!"
По 13, 14, 19, 24 числам стирает файлы на диске C: в корневом каталоге и каталогах:
C:\WINDOWS\
C:\WINDOWS\SYSTEM\
C:\WINDOWS\COMMAND\
C:\MSOFFICE\
C:\MSOFFICE\WINWORD\
C:\MSOFFICE\EXCEL\
C:\WINWORD\
C:\DOS\
C:\R A\
C:\PCB\
C:\PCB\MAIN\
C:\PCB\DL01\
Затем выдает несколько MessageBox-ов:
Voce щ GAY??????
Alevirus and Delta SCS first Macro Virii Brasil!!!
Ligue para essa vaca Viviane ela faz programa hehe 215-1966
Tron manda seu disco para finalizar o maudoso MASTER CONTROL
ViVa a Improdutividade e a cerveja mais vendida ANTARTICA!!
Homenagem ao meu filho Henrique Parabens! Nene!
Homenagem a Fernada Regina Tessarine Descarnada em 20.09.96
Puxa vida Fe ta dificil viver se voce!!!Esteja com Deus!!
Deus Seja Louvado!!! Alevirus :)))
|
| |
|
|
|
| shaman |
Дата: Пятница, 05.11.2010. Сообщение # 175
|
|
Заблокированный
Сообщений: 887
Нет на сайте
|
Macro.Word.Lucifer
Зашифрован, в документах содержит 3 макроса: Close, Lucifer, AutoOpen. В NORMAL.DOT содержит 6 макросов: AutoOpen, AutoClose, Close, ToolsMacro (стелс), FileTemplates, Lucifer. Зараженние глобальной области макросов (NORMAL.DOT) происходит при открытии документов (AutoOpen), а документов - при их закрытии (AutoClose). 15 числа копирует файл C:\AUTOEXEC.BAT в файл C:\AUTOEXEC.LUS. В AUTOEXEC.BAT добавляет строки:
@Echo Off"
CD\WINDOWS\"
Ren *.dll *.lus"
CD\WINDOWS\SYSTEM\"
Ren *.dll *.lus"
CD\"
Ren C:\AUTOEXEC.LUS C:\AOTUEXEC.BAT
После чего выдает диалог с картинкой:
Code Name : Lucifer
Again!!!, from Darkside on Yogyakarta
I'll cross your heart !!
lucifer@Sulthans_Palace.com
При вызове меню Tools/Macro выдает диалог:
Message from Lucifer
We knew that the first WordMacro virus was created by McNamara.
But, somebody tried to convince that he was the conceptor!!
His name is: MILKY WAHYUDI WIDJAJA
His speech like bullshit!!
I'm the one of MV creator call him VIRUS CLAIMER, NOT VIRUS MAKER !!
isn't he Phardera ?
Greeting to Everyone
Notice : this is not a virus, just a message don't kill me!!
|
| |
|
|
|
| FAQpk.ru © 2010-2013