Энциклопедия компьютерных вирусов
Macro.Word97.ATU, семейство
Макро-вирусы семейства для своего распространения используют необычный прием. Вместо записи макро-программ в область макросов документов вирусы добавляют к документу ссылку на так называемый "присоединенный шаблон" (attached template), который и содержит макро-программу размножения вируса. В результате зараженные документы не содержат маросов, однако при их открытии Word97 открывает также и шаблон, указанный в документе, и код вируса получает управление.
В известных версиях вирусов семейства ссылка на зараженный шаблон, содержащий макросы вируса, указывает на один из серверов Интернет (сервер хакеров и вирусописателей). Таким образом, присоединенный к документу шаблон загружается из интернета при каждом открытии зараженного документа, и находящийся в шаблоне код копируется в системную область макросов (NORMAL.DOT). Т.к. зараженный шаблон хранится на сервере Интернет, он может изменен автором в любое время.
Данный способ распространения позволяет вирусам в некоторых случаях обойти встроенную в Word97 антивирусную защиту (VirusWarning). Как оказалось, данная защита не срабатывает для присоединенных шаблонов, и вирус "обходит" защиту этих версий Word97. Данная ошибка Word97 была исправлена компанией Microsoft в начале 1999г.
Вирус "ATU.b" копирует в системную область макросов не весь код из загруженного из интернет шаблона, а только ту часть, которая необходима для заражения документов.
Код вирусов содержит комментарии:
"ATU.a":
<!--1nternal--> Active Template Update
"ATU.b":
<!--1nternal--> Active Template Update v0.2 /1nternal
