1995 | 1996 | 1997 | 1998 | 1999 | 2000 | 2001 | 2002 | 2003 | 2004 | Оглавление текущего номера /114, 1995 г./ | Бонус | Поиск  

Software

Внимание: вирус для... WinWord!

Александр Звозин


© 2004, Еженедельник «Компьютерра» | http://www.computerra.ru/offline
Этого материала на сайте "Компьютерры", к сожалению, нет

Это не бред больного хакера, а реальность, с которой теперь может столкнуться любой пользователь Microsoft Word for Windows.

Похоже, единственная наука, которой не грозит исчезновение подопытного материала, – это компьютерная вирусология. Казалось бы, шум, поднятый видоизменяющимися и stealth-вирусами помаленьку затих: найдены эффективное противоядия (в конце концов добро побеждает-таки зло), в атмосфере DOS стало легче дышать, и компьютеры все реже кашляют и умирают от неизвестных заболеваний.

Однако пытливые умы из мира компьютерных крыс снова влили свежую кровь в инкубатор программной гнуси. Итак, долой Си и Ассемблер. Невероятно, но факт: теперь вирусы пишут на Word Basic!

Итак, недавно всю "электронную" общественность мира облетела весть о новом вирусе, поползновения которого были замечены в Америке, Англии и Финляндии. Он стал известен под именами WW6MACRO, WinWord.Concept и вызвал сущий переполох прежде всего потому, что поражал только файлы Word'a и при этом абсолютно независимо от операционной системы.

Суть новой вирусной технологии заключается в том, что переносчиками вируса являются документы и шаблоны, а не исполняемые коды ЕХЕ- и СОМ-файлов. Пораженные документы содержат записанные на Word Basic макросы с кодом вируса При загрузке документа в WinWord вирус переносит свои макросы в область глобальных макросов и переопределяет макрос FileSaveAs. Вследствие этого каждый записываемый после заражения DOC-файл содержит макросы с кодом вируса и потенциально заразен. При выходе из WmWord'a коды вируса записываются в файл глобальных макросов, а при повторном запуске активизируются вновь.

Первый разоблаченный представитель этого поколения вирусов – WinWord.Concept (так его назвали в команде Касперского) – не приносит серьезной беды, но формально поражает все, что ни попадя Это явно отражено в одном из его сообщений: "That's enough to prove my point" ("Этого достаточно, чтобы быть гордым" – возможный перевод) Если нечто подобное вдруг всплывет в вашем документе, постарайтесь припомнить, не вы ли это писали, – и если нет, бейте в набат. Еще один характерный признак вируса -файл WmWord6.ini пораженной системы содержит запись WW6I = 1.

Другой вирус этой серии – WinWord.Nuclear – напротив, весьма ехиден и зловреден. Он не только "пачкает" диск продуктами своей жизнедеятельности, но и переопределяет на себя печать и в конец каждого 12-го файла, адресуемого принтеру (при условии, что секунды системного времени больше 55), добавляет две строчки, в которых взывает к мировой общественности со словами. "Прекратите французские ядерные испытания в Тихом океане!" (представьте, что вы отправляли факс). Кроме того, 5 апреля этот злыдень разрушает файлы IO.SYS и MSDOS.SYS, a иногда с помощью программы DEBUG (если она есть в каталоге C.\DOS) компилирует шестнадцатиричный дамп обычного DOS-вируса, который содержит в своем теле.

Доблестная антивирусная дружина во главе с Евгением Касперским не дремала, охраняя интересы пользователей, и уже создала соответствующий AntiViral Pro Toolkit for Microsoft Word(AVPWW), который лечит системы, пораженные WinWord.Concept и WinWord.Nuclear (кстати, русифицированные версии пакета WinWord по отношению к этим вирусам обладают "иммунитетом").

Однако не следует уповать на все это – будьте осторожны с документами, которые вы получаете!

 


1995 | 1996 | 1997 | 1998 | 1999 | 2000 | 2001 | 2002 | 2003 | 2004 | Оглавление текущего номера /114, 1995 г./ | Бонус | Поиск  

© 2004, Издательский дом «Компьютерра» | http://www.computerra.ru
Телефон редакции: (095) 232-22-61
E-mail редакции: inform@computerra.ru