Продукты:
Для дома
Для малого бизнеса
Для среднего бизнеса
Для крупного бизнеса
Уязвимости Угрозы
Главная Угрозы Virus MSOffice

Virus.MSOffice.Triplicate

Класс
Virus
Платформа
MSOffice

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:
  • файловые;
  • загрузочные;
  • макровирусы;
  • скриптовые.
Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Virus

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера. В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например: при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе; вирус скопировал себя на съёмный носитель или заразил файлы на нем; пользователь отослал электронное письмо с зараженным вложением.

Подробнее

Платформа: MSOffice

MSOffice – пакет офисных приложений для современных операционных систем, созданный корпорацией Microsoft. В состав этого пакета входит программное обеспечение для работы с различными типами документов.

Описание

Technical Details

Многоплатформенный макро-вирус, заражает документы MS Word97, таблицы MS Excel97 и файлы презентаций MS PowerPoint97. Никак не проявляется и не содержит деструктивных процедур. Является первым известным вирусом, заражающим более двух компонент MS Office, и одним из первых макро-вирусов, заражающих презентации MS PowerPoint.

Вирус отключает антивирусные защиты Word, Excel и PowerPoint. Защита Word выключается обычными командами VisualBasic. Защиты Excel и PowerPoint отключаются непосредственно в системном реестре Windows. При этом вирус отключает их во всех возможных местах расположения в каталогах CURRENT_USER, LOCAL_MACHINE и USERS.

Вирус содержит три процедуры, написанные на VBA5 (Visual Basic for Application) - "Document_Close()" для Word 97, "Workbook_Deactivate()" для Excel 97 and "actionhook()" для PowerPoint97. Каждая из этих процедур при активизации под соответствующим приложением Office вызывает подпрограмму размножения вируса, переносящую его в другие объекты данного приложения и в два других приложения Office.

Известно как минимум 4 различные версии вируса. Две из них практически совпадают с предыдущими версиями вируса за исключением исправленных ошибок. Последние версии вируса использует ошибку в защите MS Word97. Специально подготовленный Word-документ, расположенный на хакерском Web-сервере, "дотягивал" и загружал в Word зараженный темплейт, расположенный на том же Web-сервере. Таким образом, при скачивании с сервера и открытии на локальном компьютере незараженного документа вирус проникал в компьютер и заражал его. При этом стандартная защита от вирусов, встроенная в MS Word97, не срабатывала на подобную "обманку", и вирусный макро-код не опознавался Word-ом как потенциально опасный.

Вирусы содержат комментарии:

"Triplilcate.a":
Triplicate v0.1 /1nternal
"Triplilcate.b":
Triplicate v0.11 /1nternal
"Triplilcate.c":
Triplicate v0.2 /1nternal
"Triplilcate.d":
Triplicate v0.21 /1nternal

Заражение из Word-документа

При активизации из зараженного документа Word вирус первым делом отключает антивирусную защиту Word и проверяет область глобальных макросов (файл NORMAL.DOT) на зараженность. Если это файл еще не заражен, вирус запускает процедуру заражения компонентов MS Office. Эта процедура состоит из трех частей: заражение Word, заражение Excel и заражение PowerPoint.

1. Процедура, заражающая Word, является самой простой в вирусе. Она простым копированием переносит код вируса в область глобальных макросов Word (NORMAL.DOT).

2. Заражение Excel является более сложным. Сначала вирус пытается запустить новый экземпляр Excel, вызвав функцию CreateObject("Excel.Application"). Затем вирус ищет в стартовом каталоге Excel файл с именем BOOK1 (файлы из этого каталога автоматически загружаются при старте Excel). Если такого файла не обнаружено, вирус переходит к заражению Excel. Во время заражении вирус отключает встроенную в Excel защиту от макро-вирусов, создает новую таблицу, копирует в ее область макросов свой код и записывает эту таблицу в стартовый каталог Excel в файл и именем BOOK1.

3.Процедура заражения PowerPoint во многом похожа на заражение Excel. Вирус запускает новый экземпляр PowerPoint, ищет в системном шаблоне PowerPoint (файл с именем 'Blank Presentation.pot') модуль, который называется 'Triplicate' и, если не находит, заражает этот файл. Заражение происходит следующим образом: вирус отключает встроенную в PowerPoint защиту от макро-вирусов, создает новый модуль 'Triplicate' в файле 'Blank Presentation.pot', копирует туда свой вирусный код, добавляет в этот же файл новую скрытую форму и устанавливает процедуру активации этой формы на свой код (эта процедура вызывается каждый раз, когда пользователь "кликает мышкой" по данной форме).

В завершение вирус проверят текущий активный документ и заражает его, если вирусный код в нем не обранужен. Данная часть процедуры заражения отрабатывает в том случае, когда система уже заражена и Word закрывает новый еще незараженный документ.

Заражение из таблиц Excel и презентаций PowerPoint

Вирусные процедуры, которые активизируются при открытии зараженных файлов Excel и PowerPoint, очень похожи друг на друга за исключением некоторых деталей.

Прежде всего вирус проверяет наличие файла BOOK1 в стартовом каталоге Excel и, если такой файл не обнаружен, то вирус считает систему еще не зараженной и внедряется в нее. Первым делом вирус заражает Word.

1. При заражени Word вирус за две попытки получает экземпляр объекта 'Word.Application'. Сначала вирус пытается получить экземпляр уже запущенного приложения и использует для этого функцию GetObject(), затем, если произошла ошибка обращения к объекту, вирус вызывает CreateObject(). Данный прием используется для того, чтобы вирус получил возможэность записи своего кода в файл NORMAL.DOT, который в случае уже работающего Word оказывается закрыт на запись. Если Word не активен, вирус получает объект 'Word.Application' обычным путем - функцией CreateObject().

Затем вирус удаляет из шаблона NORMAL.DOT весь присутствующий в нем код, создает там новую процедуру с именем DisableAV(), копирует туда часть своего кода (весьма короткая процедура - всего 8 команд), затем вызывает и удаляет ее. Данная процедура отключает антивирусную защиту Excel и PowerPoint в системном реестре. Затем вирус копирует свой код в область глобальных макросов (NORMAL.DOT).

2. Заражение Excel/PowerPoint. На этом этапе процедура заражения переносит код вируса из Excel в PowerPoint или наоборот в зависимости от типа уже зараженного приложения. Данная процедура совпадает с аналогичной, использующейся вирусом при заражении Excel и PowerPoint из документа Word.

В случае, если вирус стартовал из таблицы Excel, то в конце своей работы он также заражает текущую таблицу Excel.

Процедура активации вируса в PowerPoint имеет дополнительную деталь: она вызывается с вероятностью 1/7 в зависимости от системного датчика случайных чисел.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Kaspersky IT Security Calculator:
Оцените ваш профиль кибербезопасности
Узнать больше
Встречай новый Kaspersky!
Каждая минута твоей онлайн-жизни заслуживает топовой защиты.
Узнать больше
Related articles
15 May 2025
Securelist
Ландшафт угроз для систем промышленной автоматизации. Первый квартал 2025 года
13 May 2025
Securelist
Тестирование на проникновение: оптимизируем работу с помощью агента Mythic
12 May 2025
Securelist
Шифровальщики: обзор тенденций и прогнозов на 2025 год
05 May 2025
Securelist
Ботнет Outlaw раскинул сети по всему миру
25 April 2025
Securelist
Triada наносит ответный удар
24 April 2025
Securelist
Операция SyncHole: APT-группа Lazarus затягивает в омут
Нашли неточность в описании этой уязвимости?
Если вы нашли новую угрозу или уязвимость, пожалуйста дайте нам знать по электронной почте:
newvirus@kaspersky.com
Нашли новую угрозу или уязвимость?
Если вы нашли новую угрозу или уязвимость, пожалуйста дайте нам знать по электронной почте:
newvirus@kaspersky.com
Продукты
Для дома
Для малого бизнеса
Для среднего бизнеса
Для крупного бизнеса
Select language
Sorting
Угроза
Confirm changes?
Your message has been sent successfully.