Энциклопедия компьютерных вирусов

         

Macro.Office97.Triplicate


Многоплатформенный макро-вирус, заражает документы MS Word97, таблицы MS Excel97 и файлы презентаций MS PowerPoint97. Никак не проявляется и не содержит деструктивных процедур. Является первым известным вирусом, заражающим более двух компонент MS Office, и одним из первых макро-вирусов, заражающих презентации MS PowerPoint.

Вирус отключает антивирусные защиты Word, Excel и PowerPoint. Защита Word выключается обычными командами VisualBasic. Защиты Excel и PowerPoint отключаются непосредственно в системном реестре Windows. При этом вирус отключает их во всех возможных местах расположения в каталогах CURRENT_USER, LOCAL_MACHINE и USERS.

Вирус содержит три процедуры, написанные на VBA5 (Visual Basic for Application) - "Document_Close()" для Word 97, "Workbook_Deactivate()" для Excel 97 and "actionhook()" для PowerPoint97. Каждая из этих процедур при активизации под соответствующим приложением Office вызывает подпрограмму размножения вируса, переносящую его в другие объекты данного приложения и в два других приложения Office.

Известно как минимум 4 различные версии вируса. Две из них практически совпадают с предыдущими версиями вируса за исключением исправленных ошибок. Последние версии вируса использует ошибку в защите MS Word97. Специально подготовленный Word-документ, расположенный на хакерском Web-сервере, "дотягивал" и загружал в Word зараженный темплейт, расположенный на том же Web-сервере (см. снимок экрана). Таким образом, при скачивании с сервера и открытии на локальном компьютере незараженного документа вирус проникал в компьютер и заражал его. При этом стандартная защита от вирусов, встроенная в MS Word97, не срабатывала на подобную "обманку", и вирусный макро-код не опознавался Word-ом как потенциально опасный.

Вирусы содержат комментарии:

"Triplilcate.a": <!--1nternal--> Triplicate v0.1 /1nternal "Triplilcate.b": <!--1nternal--> Triplicate v0.11 /1nternal "Triplilcate.c": <!--1nternal--> Triplicate v0.2 /1nternal "Triplilcate.d": <!--1nternal--> Triplicate v0.21 /1nternal



Содержание раздела