Software
Внимание: вирус для... WinWord!
Александр Звозин
Это не бред больного хакера, а реальность, с которой теперь может столкнуться любой пользователь Microsoft Word for Windows.
Похоже, единственная наука, которой не грозит исчезновение подопытного материала, – это компьютерная вирусология. Казалось бы, шум, поднятый видоизменяющимися и stealth-вирусами помаленьку затих: найдены эффективное противоядия (в конце концов добро побеждает-таки зло), в атмосфере DOS стало легче дышать, и компьютеры все реже кашляют и умирают от неизвестных заболеваний.
Однако пытливые умы из мира компьютерных крыс снова влили свежую кровь в инкубатор программной гнуси. Итак, долой Си и Ассемблер. Невероятно, но факт: теперь вирусы пишут на Word Basic!
Итак, недавно всю "электронную" общественность мира облетела весть о новом вирусе, поползновения которого были замечены в Америке, Англии и Финляндии. Он стал известен под именами WW6MACRO, WinWord.Concept и вызвал сущий переполох прежде всего потому, что поражал только файлы Word'a и при этом абсолютно независимо от операционной системы.
Суть новой вирусной технологии заключается в том, что переносчиками вируса являются документы и шаблоны, а не исполняемые коды ЕХЕ- и СОМ-файлов. Пораженные документы содержат записанные на Word Basic макросы с кодом вируса При загрузке документа в WinWord вирус переносит свои макросы в область глобальных макросов и переопределяет макрос FileSaveAs. Вследствие этого каждый записываемый после заражения DOC-файл содержит макросы с кодом вируса и потенциально заразен. При выходе из WmWord'a коды вируса записываются в файл глобальных макросов, а при повторном запуске активизируются вновь.
Первый разоблаченный представитель этого поколения вирусов – WinWord.Concept (так его назвали в команде Касперского) – не приносит серьезной беды, но формально поражает все, что ни попадя Это явно отражено в одном из его сообщений: "That's enough to prove my point" ("Этого достаточно, чтобы быть гордым" – возможный перевод) Если нечто подобное вдруг всплывет в вашем документе, постарайтесь припомнить, не вы ли это писали, – и если нет, бейте в набат. Еще один характерный признак вируса -файл WmWord6.ini пораженной системы содержит запись WW6I = 1.
Другой вирус этой серии – WinWord.Nuclear – напротив, весьма ехиден и зловреден. Он не только "пачкает" диск продуктами своей жизнедеятельности, но и переопределяет на себя печать и в конец каждого 12-го файла, адресуемого принтеру (при условии, что секунды системного времени больше 55), добавляет две строчки, в которых взывает к мировой общественности со словами. "Прекратите французские ядерные испытания в Тихом океане!" (представьте, что вы отправляли факс). Кроме того, 5 апреля этот злыдень разрушает файлы IO.SYS и MSDOS.SYS, a иногда с помощью программы DEBUG (если она есть в каталоге C.\DOS) компилирует шестнадцатиричный дамп обычного DOS-вируса, который содержит в своем теле.
Доблестная антивирусная дружина во главе с Евгением Касперским не дремала, охраняя интересы пользователей, и уже создала соответствующий AntiViral Pro Toolkit for Microsoft Word(AVPWW), который лечит системы, пораженные WinWord.Concept и WinWord.Nuclear (кстати, русифицированные версии пакета WinWord по отношению к этим вирусам обладают "иммунитетом").
Однако не следует уповать на все это – будьте осторожны с документами, которые вы получаете!