Родительский класс: VirWare
Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:- файловые;
- загрузочные;
- макровирусы;
- скриптовые.
Класс: Virus
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера. В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например: при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе; вирус скопировал себя на съёмный носитель или заразил файлы на нем; пользователь отослал электронное письмо с зараженным вложением.Подробнее
Платформа: MSOffice
MSOffice – пакет офисных приложений для современных операционных систем, созданный корпорацией Microsoft. В состав этого пакета входит программное обеспечение для работы с различными типами документов.Описание
Technical Details
Заражает документы Word и таблицы Excel от Office97. Назван по имени одной из своих внутренних меток: "teonanacatl". Является вторым известным вирусом после "Access/Word97.Cross", заражающим различные приложения MS Office.
Вирус состоит из одного модуля с именем StrangeDays и содержит восемь макросов:
AutoClose - авто-макрос Word, содержит процедуру заражения AutoOpen - авто-макрос Word, запрещает редактор VisualBasic (стелс) AutoExit - авто-макрос Word, вызывает AutoClose для заражения ToolsMacro - блокирует просмотр макросов (стелс) ToolsOptions - блокирует просмотр макросов (стелс) FileTemplates - блокирует просмотр макросов (стелс) ViewVBCode - блокирует просмотр макросов (стелс) Auto_Open - авто-функция Excel, перехватывает активизацию таблиц
Размножается не только в "родном" приложении (Word->Word, Excel->Excel), но и переносит свой код в другое приложение MS Office (Word->Excel и Excel->Word). В обоих случаях заражения (документы Word и таблицы Excel) имеет один и тот же Бейсик-код, совпадающий вплоть до байта - вирус написан столь аккуратно, что один и тот же код без ошибок выполняется как макросы Word, так и функции Excel.
Для заражения "родных" файлов (документов или таблиц) вирусом используются функции VisualBasic Import и Export: вирус записывает (экспортирует) свой Бейсик-текст в файл C:LO.SYS и затем считывает (импортирует) его в текущий документ (в случае Word) или активную таблицу (в случае Excel). В случае Word для заражения документов вирус перехватывает авто-макросы AutoClose и AutoExit и записывается в документы при их закрытии и при выходе из Word. В случае Excel вирус при помощи авто-функции Auto_Open при открытии зараженной таблицы перехватывает процедуру активизации таблиц Excel.
Для заражения других приложений Office вирус использует авто-загрузку файлов из startup-каталогов Word и Excel: вирус для заражения Word из Excel вирус создает в каталоге Word новый файл NORMAL.DOT, для заражения Excel из Word - новый файл PERSONAL.XLS.
Оба NORMAL.DOT и PERSONAL.XLS содержат короткую 17-командную программу, которая является не кодом вируса, а загрузчиком этого кода. Этот загрузчик имеет авто-имя (Auto_Close в Excel и AutoExec в Word) и автоматически выполняется когда Word запускается с зараженным NORMAL.DOT или Excel закрывает зараженный PERSONAL.XLS. В этот момент загрузчик вируса считывает (импортирует) полный код вируса из файла C:LO.SYS (т.е. вирус заражает NORMAL.DOT или PERSONAL.XLS своим полным кодом). Результат затем сохраняется в первоначальном файле (NORMAL.DOT или PERSONAL.XLS) и при следующей загрузке Word или Excel вирус продолжает свое распространение.
Вирус использует стелс- и анти-антивирусные приемы: блокирует пункты меню Tools/Macro, Tools/Options, File/Templates, View/VBCode, выключает редактор VisualBasic и встроенную в Office97 защиту от вирусов.
По 26-м числам ежемесячно вирус уничтожает файлы в текущем каталоге и выводит MessageBox:
Strange Days by Reptile/29A Strange days have found us Strange days have tracked us down They're going to destroy...
Смотрите также
Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com