Virus.MSExcel.Paix

Класс Virus
Платформа MSExcel
Описание

Technical Details

Этот вирус размножается обычным для остальных Excel-вирусов способом:
перехватывает системные события (активизация окна — OnWindow) и копирует
свой код в каждую активизируемую таблицу. При первом открытии зараженного
файла-таблицы вирус регистрирует его как подключаемый модуль (Add-In) с
именем XLSHEET.XLA в том же каталоге или в C:WINDOWS. При этом Excel
автоматически создает копию документа с указанным выше именем и при
последующих запусках загружает и активизирует его. Таким образом после
заражения Excel вирус постоянно активен и заражает все открываемые и
создаваемые таблицы.

Вирус имеет французское происхождение (это видно из имен процедур и
выводимого вирусом текста), однако способен размножаться под любой
национальной версией Excel. Состоит вмрус из пяти процедур: auto_ouvrir,
activation_feuille, protect, !!!GO, auto_fermer. Все процедуры кроме !!!GO
при активизации вызывают подпрограмму заражения. В зависимости от
системного случайного счетчика (с вероятностью 2%) активизируется
процедура !!!GO, которая закрывает все открытые таблицы и удаляет с экрана
все активные элементы Excel (кнопки на ToolBar, меню, StatusBar) и
заменяет на экране строку «Microsoft Excel» на «Enfin la paix …»
(«Наконец-то мир …»).

Обнаружить новый вирус обычными способами (просмотр макросов) невозможно,
поскольку вирус объявляет свой модуль «крайне скрытым» (VeryHidden) —
такое свойство модуля не может быть отменено из меню Excel. Для просмотра
модуля вируса необходимо написать специальную программу на встроенном
языке Excel (Basic).

Таким образом, обычный пользователь не имеет средств для обнаружения
вируса, а все известные антивирусные программы пока не в состоянии
обнаруживать и лечить вирусы этого класса. По косвенным признакам вирус
может быть онаружен следующим образом: в меню Tools/Add-Ins присутствует
ссылка на файл XLSHEET. Зараженные файлы можно также определить по наличию
в файле текстовых строк:

Enfin la paix ...
!!!GO

Частично защитить систему от вируса возможно и без применения
программ-антивирусов. Для этого необходимо в каталоге C:WINDOWS создать
файл-пустышку с именем XLSHEET.XLA и установить у него атрибут read-only.
После этого вирус будет не в состоянии создать в C:WINDOWS свой Add-In.
Если же вирус создаст свой файл в другом каталоге, то подобный
файл-пустышку необходимо создать в том же каталоге.