Venezuela, Maracay, Dic 1996.
P.D. Que haces gochito ? Nunca seras Simon Bolivar.. Bolsa !
WM.Chaos
Содержит текст:
*********************************
* -x UlTiMaTe x- *
* CCCCC H H AAAAA OOOOO SSSSS *
* C H H A A O O S *
* C HHHHH AAAAA O O SSSSS *
* C H H A A O O S *
* CCCCC H H A A OOOOO SSSSS *
* -x v2.3 - 1st June, 1996 x- *
*********************************
WM.Concept (1-4, 7-9)
При первом просмотре или редактировании инфицированного документа
появляется MessageBox с цифрой 1 внутри. Вирус содержит макросы,
имеющие имена AutoOpen, AAAZAO, AAAZFS, FileSaveAs, PayLoad. Зараженный
файл-документ содержит тексты:
see if we're already installed
WW6Infector
iWW6IInstance
AAAZFS
AAAZAO
That's enough to prove my point
В зараженной системе в файле WINWORD6.INI имеется строка "WW6I= 1".
WM.Concept (5)
Вариация на тему WordMacro.Concept (1). Содержит макросы AutoOpen,
EditSize (оба - инсталляция вируса), HaHa (признак зараженности файла)
и FileSort. При запуске FileSort вирус стирает его содержимое, выводит
большими буквами текст:
i said:
say goodbye to all your stuff
(look at that hard drive spin!)
заражает файл и 100 раз подряд выполняет команду FileSave. Утраченный
текст восстановить невозможно.
WM.Concept (6)
Содержит макросы AutoOpen, Boom, F1 и F2. Макрокоманда Boom из тела
вируса не вызывается и может быть выполнена только в том случае, когда
пользователь сам этого захочет. Тогда будет выведен MeassageBox с
заголовком "AFA" и текстом "Fight Racism; Smash Fascism".
WM.Daddy
В теле вируса содержатся макросы Gangsterz и Paradise, котоpые получают
упpавление только в том случае, если пользователь сам запустит их на
выполнение. Оба макpоса пеpехватывают сообщения, поступающие от
клавиатуpы (устанавливают клавиатуpные макpосы) и инфициpуют
NORMAL.DOT. После этого пpи каждом нажатии на пpобел будет запускаться
Gangsterz, на клавишу 'E' - Paradise. Пpи запуске макpоса Gangsterz
виpус создает файл XOP.BAT, заpажает его виpусом BAT.Xop.367, если в
секции "Intl" файла WIN.INI не пpисутствует стpока "XOP=Installed" и
записывает в WIN.INI эту стpоку. После этого вставляет в AUTOEXEC.BAT
стpоки
@echo off
Drive:\Path\XOP.BAT
где Drive:\Path - полный путь к фалу XOP.BAT. Макpос Paradise пpовеpяет
текущую дату и 15 янваpя уничтожает NORMAL.DOT, записывая в него стpоку
"Big_Daddy_Cool Virus generated by NJ" и в "вечном цикле" вставляет в
него букву "O", пpедваpительно запpетив pеакцию на нажатие клавиш.
WM.Daniel (1,2)
Макро-стелс вирус. Переопределяет меню File|Save и нажатие на клавиши
Ctrl-S, Ctrl-B на свой макрос. Данный макрос заражает текущий документ,
добавляя в его FileSummaryInfo поля: Keywords = "Daniel_Stone",
Comments = "All information should be free." Вирус удаляет пункты меню
работы с макросами и, таким образом, прячет наличие своих макросов в
системе. Содержит тексты:
REM This is the Word_Macro_Virus_Daniel_1D - Have a nice Day!
REM Please Suport the Virus Concept.
WM.Demon
В документах содержит макрос AutoOpen и 2 макроса со случайными
именами, в NORMAL.DOT - AutoClose и также 2 макроса со случайными
именами. Имена же эти хранит в переменных документа или в файле
WIN.INI. С мая до января удаляет себя из документов и шаблонов. Если
в документе имеется выделенный текст "Dark Master calling", то вирус
выводит окно с сообщением:
Microsoft WinWord DEMON
WINWORD HIDDEN DEMON
is happy to see his MASTER!!!
GREAT DAY !!!
This file is infected as #
WM.GoldFish
Содержит практически совпадающие макросы AutoOpen и AutoClose. При
заражении производит проверку наличия в файле макросов с такими именами
и атрибутом "ExecOnly". Если в документе находится макрос,имеющий такие
атрибуты и имя, совпадающее с AutoOpen или AutoClose, соответствующий
вирусный макрос в документ не переносится. Если текущий год - 1996 или
больше, каждый из вирусных макросов с вероятностью 1/500 выводит
диалоговое окно с заголовком "GoldFish" и текстом "I am the GoldFish,
I am hungry, feed me." и ждет ввода одного из слов "fishfood", "worms",
"worm", "pryme" или "core".
WM.Irish
Содержит макросы AutoOpen (заражение NORMAL.DOT), WordHelp, WordHelpNT
(оба - визуальные эффекты) и AntiVirus, который при запуске из
NORMAL.DOT заражает открытый файл и выдает системный гудок Windows.
WordHelp и WordHelpNT при активизации изменяют и сохраняют цветовые и
некоторые другие настройки дисплея.
WM.MadDog
Содержит макросы AutoOpen, AutoExec, AutoClose, FileClose, AOpnFinish и
FCFinish. Все макросы, кроме AutoClose, в качестве "шапки" содержат
строки:
--------------------------------------------------------
Microsoft Word for Windows 95 "MadDog" Macro Set
v 1.0, March l996
--------------------------------------------------------
(c) Copyright Microsoft Corporation, 1995
Заражает файлы довольно запутанным способом, похожим на упражнения
в структурном программировании на WordBasic. При этом используются
временные файлы с именами "Temp.Dot" и "FileName.Dat" и вызовы вирусных
макросов, как подпрограмм. Поскольку временные файлы создаются,
записываются и сохраняются средствами WordBasic, для маскировки факта
работы с ними вирус сбрасывает список MRU (Most Recently Used files -
наиболее часто используемых файлов) в меню Files.Перед закрытием файлов
в период с 20.00 до 20.59 вирус "убивает" текст, меняя все буквы "e"
("E") на "a" и сохраняет файл. При заражении файлов никаких проверок не
производится.
WM.MDMA
Вирус инсталлируется при закрытии файла (вызов AutoClose). В Normal.Dot
переносится макрос AutoClose.Если такой макрос содержится в Normal.Dot,
то вирус считает, что система уже заражена. 1 числа каждого месяца
определяет платформу, под которой работает, и в зависимости от нее
предпринимает различные действия:
Windows95 : удаляет файл C:\SHMK, файлы C:\WINDOWS\*.HLP и
C:\WINDOWS\SYSTEM\*.CPL и меняет некоторые настройки,
задаваемые группами Control Panel и Network.
Windows NT: удаляет файл C:\SHMK и все файлы текущего каталога.
Windows : удаляет файл C:\SHMK и записывает в AUTOEXEC.BAT следующие
строки:
@echo off
deltree /y c: ; (удаление дерева каталогов на C: без
; подтверждения)
@echo You have just been phucked over by a virus
Macintosh : уничтожает MacID$("****") ???
Независимо от предпринятых действий при закрытии инфицированного файла
будет выведен MessageBox с текстом "You are infected with MDMA_DMV.
Brought to you by MDMA (Many Delinquent Modern Anarchists)." , имеющий
заголовок "MDMA_DMV".
WM.NJ.based
Вирусы, созданные с помощью NJ-WMVCK v1.1 (Nightmare Jokerяs Word Macro
Virus Construction Kit) - немецкоязычным генератором MACRO-вирусов. При
открытии запрашивает имя файла, в который будет записан создаваемый
вирус и язык для диалогов (немецкий или английский, выбор последнего
влечет за собой сообщение о том, что эта возможность еще не
реализована). После выдачи нескольких информационных сообщений
продолжает диалог и просит ввести текстовую строку и имя макроса,
который будет служить признаком зараженности. В этот макрос будет
записан код, заражающий DOS одним из 10 файловых вирусов. Список DOS-
вирусов содержит несколько творений, созданных с помощью известных
программ-конструкторов вирусов (VirusConstructor.based),генераторов MTE
и SMEG, вирусы Casino.2330, Tequila, Neurobasher.Tremor и Win95.Boza.
Имя вируса запрашивается дополнительно. После этого в указанный файл
записывается текст "A New Life! Nightmare Joker!", формируется и
переносится текст MACRO-вируса и оба файла (только что созданный и файл
-конструктор) закрываются. Генератор содержит ряд неточностей и
погрешностей, в результате которых на любом этапе работа может быть
прервана сообщениями об ошибках Word Basic'а. Так, например, для ввода
одной строки выводится многострочный InputBox, имя создаваемого файла
всегда дополняется строкой "C:\" и т.д.
WM.Orhey
Hабоpы макpосов этого виpуса pазличаются в глобальных шаблонах и
заpажаемых документах. Пеpвоначальная копия содеpжит макpосы AtExc,
FlOpvvv, FISvv, AutoOpen, FileExit, TlsMcr и FlSvvs (набоp 1). Пpи
откpытии заpаженного файла получает упpавление макpос AutoOpen. Он
пpоизводит пpовеpку заpаженности главного шаблона, и, если в нем не
содеpжится макpоса с именем ImpRovevvvv5, пеpеносит в него свое тело,
изменяя имена макpосов (набоp 2):
AutoOpen -> ImpRovevvvv5
AtExc -> AutoExec
FlOpvvv -> FileOpen
FlSvvs -> FileSaveAs
FlSvv -> FileSave
TlsMcr -> ToolsMacro
FileExit -> FClccc
Макpо AutoExec содеpжит дестpуктивный эффект,котоpый должен сpабатывать
22 мая 1998 года. Пpедполагается вывод Message Box с заголовком
"GreenPeace Virus" и текстом:
Belik Natasha demands:
Stop pollution of an environment!!!!!
Protect ozonian layer!!!
Rescue Volga!!!
Pay the salary!!!!!
После этого будут уничтожены файлы по маске "*.HLP" и подана команда
ExitWindows. Пpи pаботе с документом в инфициpованной системе
пpоисходит стандаpтное его заpажение пpи вызове макpоса FileSaveAs, пpи
этом виpус копиpует макpосы из шаблона в документ, изменяя их имена на
имена из набоpа 1. Макpос FileOpen пpовеpяет поле Author потока Summary
Info откpываемого документа. Если имя автоpа Igor Daniloff, виpус ищет
в документе макpосы AutoOpen и iDrWebScan, котоpые содеpжатся в вакцине
Dr.Web for WinWord веpсии 1.0. Пpи нахождении AutoOpen виpус
пеpезаписывает его содеpжимое и вставляет код, котоpый пpи запуске
макpоса должен вывести Message Box с заголовком "DrWeb for WinWord" и
текстом:
" In the WinWord6.0/7.0rus environment "
" the viruses are not distributed "
(что действительности, конечно, не соответствует. Возможно, автоpу
виpуса не понpавилось, что эта вакцина не была pассчитана на pаботу в
pускоязычных веpсиях pедактоpа? Сам виpус pаботоспособен в любой
локализованной веpсии Word for Windows). Пpи нахождении макpоса
iDrWebScan виpус стиpает его содеpжимое и записывает в макpос
