Энциклопедия компьютерных вирусов

         

Заражение из Word-документа


При активизации из зараженного документа Word вирус первым делом отключает антивирусную защиту Word и проверяет область глобальных макросов (файл NORMAL.DOT) на зараженность. Если это файл еще не заражен, вирус запускает процедуру заражения компонентов MS Office. Эта процедура состоит из трех частей: заражение Word, заражение Excel и заражение PowerPoint.

1. Процедура, заражающая Word, является самой простой в вирусе. Она простым копированием переносит код вируса в область глобальных макросов Word (NORMAL.DOT).

2. Заражение Excel является более сложным. Сначала вирус пытается запустить новый экземпляр Excel, вызвав функцию CreateObject("Excel.Application"). Затем вирус ищет в стартовом каталоге Excel файл с именем BOOK1 (файлы из этого каталога автоматически загружаются при старте Excel). Если такого файла не обнаружено, вирус переходит к заражению Excel. Во время заражении вирус отключает встроенную в Excel защиту от макро-вирусов, создает новую таблицу, копирует в ее область макросов свой код и записывает эту таблицу в стартовый каталог Excel в файл и именем BOOK1.

3.Процедура заражения PowerPoint во многом похожа на заражение Excel. Вирус запускает новый экземпляр PowerPoint, ищет в системном шаблоне PowerPoint (файл с именем 'Blank Presentation.pot') модуль, который называется 'Triplicate' и, если не находит, заражает этот файл. Заражение происходит следующим образом: вирус отключает встроенную в PowerPoint защиту от макро-вирусов, создает новый модуль 'Triplicate' в файле 'Blank Presentation.pot', копирует туда свой вирусный код, добавляет в этот же файл новую скрытую форму и устанавливает процедуру активации этой формы на свой код (эта процедура вызывается каждый раз, когда пользователь "кликает мышкой" по данной форме).

В завершение вирус проверят текущий активный документ и заражает его, если вирусный код в нем не обранужен. Данная часть процедуры заражения отрабатывает в том случае, когда система уже заражена и Word закрывает новый еще незараженный документ.



Содержание раздела