Энциклопедия компьютерных вирусов
Заражение из таблиц Excel и презентаций PowerPoint
Вирусные процедуры, которые активизируются при открытии зараженных файлов Excel и PowerPoint, очень похожи друг на друга за исключением некоторых деталей.
Прежде всего вирус проверяет наличие файла BOOK1 в стартовом каталоге Excel и, если такой файл не обнаружен, то вирус считает систему еще не зараженной и внедряется в нее. Первым делом вирус заражает Word.
1. При заражени Word вирус за две попытки получает экземпляр объекта 'Word.Application'. Сначала вирус пытается получить экземпляр уже запущенного приложения и использует для этого функцию GetObject(), затем, если произошла ошибка обращения к объекту, вирус вызывает CreateObject(). Данный прием используется для того, чтобы вирус получил возможэность записи своего кода в файл NORMAL.DOT, который в случае уже работающего Word оказывается закрыт на запись. Если Word не активен, вирус получает объект 'Word.Application' обычным путем - функцией CreateObject().
Затем вирус удаляет из шаблона NORMAL.DOT весь присутствующий в нем код, создает там новую процедуру с именем DisableAV(), копирует туда часть своего кода (весьма короткая процедура - всего 8 команд), затем вызывает и удаляет ее. Данная процедура отключает антивирусную защиту Excel и PowerPoint в системном реестре. Затем вирус копирует свой код в область глобальных макросов (NORMAL.DOT).
2. Заражение Excel/PowerPoint. На этом этапе процедура заражения переносит код вируса из Excel в PowerPoint или наоборот в зависимости от типа уже зараженного приложения. Данная процедура совпадает с аналогичной, использующейся вирусом при заражении Excel и PowerPoint из документа Word.
В случае, если вирус стартовал из таблицы Excel, то в конце своей работы он также заражает текущую таблицу Excel.
Процедура активации вируса в PowerPoint имеет дополнительную деталь: она вызывается с вероятностью 1/7 в зависимости от системного датчика случайных чисел.
