Энциклопедия компьютерных вирусов
Macro.Word.Nuclear
Зашифрован, состоит из девяти макросов:
AutoExec, AutoOpen, FileSaveAs, FilePrint, FilePrintDefault, InsertPayload, Payload, DropSuriv, FileExit
При заражении Word вирус не проверяет наличие таких имен в системе (кроме AutoExec). Если макросы с такими именами уже были определены, то вирус заменяет их своими макросами. При этом первоначальные макросы уничтожаются. В дальнейшем файлы-документы заражаются при их закрытии (макрос FileSaveAs). Вирус в файлах-документах проявляется тремя способами: 1) запускает COM/EXE/NewEXE вирус, 2) добавляет строки текста при печати документов, 3) портит системные файлы. Следует отметить, что вирус содержит большое количество ошибок, и пункты 1) и 3), скорее всего, не могут быть выполнены вирусом по причине этих ошибок. 1) При запуске Word активизаруется макрос AutoExec, который вызывает макрос DropSuriv, который проверяет системное время и в период с 17:00 до 18:00 заражает систему COM/EXE/NewEXE-вирусом ("Ph33r"
). При этом макрос DropSuriv использует программу DEBUG.EXE. Первым делом проверяется наличие файла C:\DOS\DEBUG.EXE. Если таковой присутствует, то вирус создает временный файл PH33R.SCR в каталоге C:\DOS. В этот файл записывается шестнадцатиричный дамп вируса и команды программы DEBUG (создать файл, ввести шестнадцатиричный дамп, выполнить полученный код, выйти в DOS). Затем вирус создает временный файл EXEC_PH.BAT, куда записывает строки:
@echo off debug < ph33r.scr > nul
и выполняет этот BAT-файл. В результате программа DEBUG создает копию вируса (в памяти) и выполняет ее. Вирус перехватывает INT 21h и затем поражает выполняемые файлы. Запуск BAT-файла происходит в теневом режиме, так что пользователь даже не подозревает, что его компьютер заражен, причем уже не одним, а двумя вирусами. После отработки BAT-файла макрос DropSuriv стирает файлы PH33R.SCR и EXEC_PH.BAT. К счастью, эта версия вируса содержит ошибку, и вирус не заражает COM/EXE/NewEXE-файлы. Однако возможно появление других версий вируса, в которых данная ошибка будет исправлена. 2) При печати документов примерно в каждый 12-й файл (значение секунд текущего времени должно быть больше 55) добавляются строчки:
And finally I would like to say: STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC!
Причем строчки добавляются в конец файла непосредственно перед печатью, так что пользователь, скорее всего, не обнаружит их на экране, так как практически любой документ занимает больше страницы экрана (особенно весело этот эффект будет выглядеть при отправке факсов). 3) 5-го апреля при запуске зараженного Word или открытии зараженного документа вирус портит файлы IO.SYS (снимает все атрибуты и обнуляет длину файла), MSDOS.SYS (снимает все атрибуты, но не обнуляет длину. Видимо автор вируса забыл вставить строчку об изменении длины), а затем стирает файл COMMAND.COM.
