Энциклопедия компьютерных вирусов
Macro.Excel97/Word97.Teocatl
Заражает документы Word и таблицы Excel от Office97. Назван по имени одной из своих внутренних меток: «teonanacatl». Является вторым известным вирусом после «Access/Word97.Cross», заражающим различные приложения MS Office.
Вирус состоит из одного модуля с именем StrangeDays и содержит восемь макросов:
AutoClose - авто-макрос Word, содержит процедуру заражения AutoOpen - авто-макрос Word, запрещает редактор VisualBasic (стелс) AutoExit - авто-макрос Word, вызывает AutoClose для заражения ToolsMacro - блокирует просмотр макросов (стелс) ToolsOptions - блокирует просмотр макросов (стелс) FileTemplates - блокирует просмотр макросов (стелс) ViewVBCode - блокирует просмотр макросов (стелс) Auto_Open - авто-функция Excel, перехватывает активизацию таблиц
Размножается не только в «родном» приложении (Word->Word, Excel->Excel), но и переносит свой код в другое приложение MS Office (Word->Excel и Excel->Word). В обоих случаях заражения (документы Word и таблицы Excel) имеет один и тот же Бейсик-код, совпадающий вплоть до байта — вирус написан столь аккуратно, что один и тот же код без ошибок выполняется как макросы Word, так и функции Excel.
Для заражения «родных» файлов (документов или таблиц) вирусом используются функции VisualBasic Import и Export: вирус записывает (экспортирует) свой Бейсик-текст в файл C:\LO.SYS и затем считывает (импортирует) его в текущий документ (в случае Word) или активную таблицу (в случае Excel). В случае Word для заражения документов вирус перехватывает авто-макросы AutoClose и AutoExit и записывается в документы при их закрытии и при выходе из Word. В случае Excel вирус при помощи авто-функции Auto_Open при открытии зараженной таблицы перехватывает процедуру активизации таблиц Excel.
Для заражения других приложений Office вирус использует авто-загрузку файлов из startup-каталогов Word и Excel: вирус для заражения Word из Excel вирус создает в каталоге Word новый файл NORMAL.DOT, для заражения Excel из Word — новый файл PERSONAL.XLS.
Оба NORMAL.DOT и PERSONAL.XLS содержат короткую 17- командную программу, которая является не кодом вируса, а загрузчиком этого кода. Этот загрузчик имеет авто-имя (Auto_Close в Excel и AutoExec в Word) и автоматически выполняется когда Word запускается с зараженным NORMAL.DOT или Excel закрывает зараженный PERSONAL.XLS. В этот момент загрузчик вируса считывает (импортирует) полный код вируса из файла C:\LO.SYS (т.е. вирус заражает NORMAL.DOT или PERSONAL.XLS своим полным кодом). Результат затем сохраняется в первоначальном файле (NORMAL.DOT или PERSONAL.XLS) и при следующей загрузке Word или Excel вирус продолжает свое распространение.
Вирус использует стелс- и анти-антивирусные приемы: блокирует пункты меню Tools/Macro, Tools/Options, File/Templates, View/VBCode, выключает редактор VisualBasic и встроенную в Office97 защиту от вирусов.
По 26-м числам ежемесячно вирус уничтожает файлы в текущем каталоге и выводит MessageBox:
Strange Days by Reptile/29A Strange days have found us Strange days have tracked us down They're going to destroy...
