Virus.MSWord.ATU

Technické údaje

Tento virus používá neobvyklý způsob šíření. Namísto kopírování makro programu do oblasti maker v oběžných dokumentech prostě píše do dokumentů odkaz na šablonu (připojenou šablonu), která obsahuje makra virů. MS Word97 při otevírání dokumentu detekuje odkaz na připojenou šablonu, otevírá ji a spouští její makra. Makro viru získá kontrolu a spouští infikovanou proceduru. Výsledkem je, že infikované dokumenty neobsahují žádný kód makra, ale po jejich otevření je kód makra virů načten Word97 a spuštěn.

Ve známých verzích tohoto viru odkaz na připojenou šablonu odkazuje na soubor na vzdáleném internetovém serveru (webový server pro spisovatele virů). Výsledkem je, že MS Word97 o otevření postiženého dokumentu stáhne a zpracuje šablonu, která je umístěna v zóně Internet. Kvůli tomu, že autory viru mohou "upgradovat" kód viru nahrazením šablony na svém webu.

Tento způsob šíření umožňuje virus obejít antivirovou ochranu (VirusWarning) ve starších verzích MS Word97. Tyto verze aplikace Word97 mají narušení zabezpečení: antivirovou ochranu není aktivována aplikací Word97 pro skenování připojených šablon pro kód makra. Tato chyba v MS Word97 byla opravena na počátku roku 1999.

Virus obsahuje komentáře:

Aktivní aktualizace šablony