Virus.MSOffice.Teocatl

Класс Virus
Платформа MSOffice
Описание

Technical Details

Заражает документы Word и таблицы Excel от Office97. Назван по имени одной
из своих внутренних меток: «teonanacatl». Является вторым известным вирусом
после «Access/Word97.Cross»,
заражающим различные приложения MS Office.

Вирус состоит из одного модуля с именем StrangeDays и содержит восемь макросов:


AutoClose — авто-макрос Word, содержит процедуру заражения
AutoOpen — авто-макрос Word, запрещает редактор VisualBasic (стелс)
AutoExit — авто-макрос Word, вызывает AutoClose для заражения
ToolsMacro — блокирует просмотр макросов (стелс)
ToolsOptions — блокирует просмотр макросов (стелс)
FileTemplates — блокирует просмотр макросов (стелс)
ViewVBCode — блокирует просмотр макросов (стелс)
Auto_Open — авто-функция Excel, перехватывает активизацию таблиц

Размножается не только в «родном» приложении (Word->Word, Excel->Excel), но
и переносит свой код в другое приложение MS Office (Word->Excel и
Excel->Word). В обоих случаях заражения (документы Word и таблицы Excel)
имеет один и тот же Бейсик-код, совпадающий вплоть до байта — вирус написан
столь аккуратно, что один и тот же код без ошибок выполняется как макросы
Word, так и функции Excel.

Для заражения «родных» файлов (документов или таблиц) вирусом используются
функции VisualBasic Import и Export: вирус записывает (экспортирует) свой
Бейсик-текст в файл C:LO.SYS и затем считывает (импортирует) его в текущий
документ (в случае Word) или активную таблицу (в случае Excel). В случае
Word для заражения документов вирус перехватывает авто-макросы AutoClose и
AutoExit и записывается в документы при их закрытии и при выходе из Word. В
случае Excel вирус при помощи авто-функции Auto_Open при открытии
зараженной таблицы перехватывает процедуру активизации таблиц Excel.

Для заражения других приложений Office вирус использует авто-загрузку
файлов из startup-каталогов Word и Excel: вирус для заражения Word из Excel
вирус создает в каталоге Word новый файл NORMAL.DOT, для заражения Excel из
Word — новый файл PERSONAL.XLS.

Оба NORMAL.DOT и PERSONAL.XLS содержат короткую 17-командную программу,
которая является не кодом вируса, а загрузчиком этого кода. Этот загрузчик
имеет авто-имя (Auto_Close в Excel и AutoExec в Word) и автоматически
выполняется когда Word запускается с зараженным NORMAL.DOT или Excel
закрывает зараженный PERSONAL.XLS. В этот момент загрузчик вируса считывает
(импортирует) полный код вируса из файла C:LO.SYS (т.е. вирус заражает
NORMAL.DOT или PERSONAL.XLS своим полным кодом). Результат затем
сохраняется в первоначальном файле (NORMAL.DOT или PERSONAL.XLS) и при
следующей загрузке Word или Excel вирус продолжает свое распространение.

Вирус использует стелс- и анти-антивирусные приемы: блокирует пункты меню
Tools/Macro, Tools/Options, File/Templates, View/VBCode, выключает редактор
VisualBasic и встроенную в Office97 защиту от вирусов.

По 26-м числам ежемесячно вирус уничтожает файлы в текущем каталоге и
выводит MessageBox:


Strange Days by Reptile/29A
Strange days have found us
Strange days have tracked us down
They’re going to destroy…