Virus.MSOffice.Triplicate

Technical Details

Многоплатформенный макро-вирус, заражает документы MS Word97, таблицы MS
Excel97 и файлы презентаций MS PowerPoint97. Никак не проявляется и не
содержит деструктивных процедур. Является первым известным вирусом,
заражающим более двух компонент MS Office, и одним из первых макро-вирусов,
заражающих презентации MS PowerPoint.

Вирус отключает антивирусные защиты Word, Excel и PowerPoint. Защита Word
выключается обычными командами VisualBasic. Защиты Excel и PowerPoint
отключаются непосредственно в системном реестре Windows. При этом вирус
отключает их во всех возможных местах расположения в каталогах
CURRENT_USER, LOCAL_MACHINE и USERS.

Вирус содержит три процедуры, написанные на VBA5 (Visual Basic for
Application) — «Document_Close()» для Word 97, «Workbook_Deactivate()» для
Excel 97 and «actionhook()» для PowerPoint97. Каждая из этих процедур при
активизации под соответствующим приложением Office вызывает подпрограмму
размножения вируса, переносящую его в другие объекты данного приложения и в
два других приложения Office.

Известно как минимум 4 различные версии вируса. Две из них практически
совпадают с предыдущими версиями вируса за исключением исправленных ошибок.
Последние версии вируса использует ошибку в защите MS Word97. Специально
подготовленный Word-документ, расположенный на хакерском Web-сервере,
«дотягивал» и загружал в Word зараженный темплейт, расположенный на том же
Web-сервере. Таким образом, при скачивании с сервера и
открытии на локальном компьютере незараженного документа вирус проникал в
компьютер и заражал его. При этом стандартная защита от вирусов, встроенная
в MS Word97, не срабатывала на подобную «обманку», и вирусный макро-код не
опознавался Word-ом как потенциально опасный.

Вирусы содержат комментарии:

«Triplilcate.a»:
Triplicate v0.1 /1nternal
«Triplilcate.b»:
Triplicate v0.11 /1nternal
«Triplilcate.c»:
Triplicate v0.2 /1nternal
«Triplilcate.d»:
Triplicate v0.21 /1nternal

Заражение из Word-документа

При активизации из зараженного документа Word вирус первым делом отключает
антивирусную защиту Word и проверяет область глобальных макросов (файл
NORMAL.DOT) на зараженность. Если это файл еще не заражен, вирус запускает
процедуру заражения компонентов MS Office. Эта процедура состоит из трех
частей: заражение Word, заражение Excel и заражение PowerPoint.

1. Процедура, заражающая Word, является самой простой в вирусе. Она простым
копированием переносит код вируса в область глобальных макросов Word
(NORMAL.DOT).

2. Заражение Excel является более сложным. Сначала вирус пытается запустить
новый экземпляр Excel, вызвав функцию CreateObject(«Excel.Application»).
Затем вирус ищет в стартовом каталоге Excel файл с именем BOOK1 (файлы из
этого каталога автоматически загружаются при старте Excel). Если такого
файла не обнаружено, вирус переходит к заражению Excel. Во время заражении
вирус отключает встроенную в Excel защиту от макро-вирусов, создает новую
таблицу, копирует в ее область макросов свой код и записывает эту таблицу в
стартовый каталог Excel в файл и именем BOOK1.

3.Процедура заражения PowerPoint во многом похожа на заражение Excel. Вирус
запускает новый экземпляр PowerPoint, ищет в системном шаблоне PowerPoint
(файл с именем ‘Blank Presentation.pot’) модуль, который называется
‘Triplicate’ и, если не находит, заражает этот файл. Заражение происходит
следующим образом: вирус отключает встроенную в PowerPoint защиту от
макро-вирусов, создает новый модуль ‘Triplicate’ в файле ‘Blank
Presentation.pot’, копирует туда свой вирусный код, добавляет в этот же
файл новую скрытую форму и устанавливает процедуру активации этой формы на
свой код (эта процедура вызывается каждый раз, когда пользователь «кликает
мышкой» по данной форме).

В завершение вирус проверят текущий активный документ и заражает его, если
вирусный код в нем не обранужен. Данная часть процедуры заражения
отрабатывает в том случае, когда система уже заражена и Word закрывает
новый еще незараженный документ.

Заражение из таблиц Excel и презентаций PowerPoint

Вирусные процедуры, которые активизируются при открытии зараженных файлов
Excel и PowerPoint, очень похожи друг на друга за исключением некоторых
деталей.

Прежде всего вирус проверяет наличие файла BOOK1 в стартовом каталоге Excel
и, если такой файл не обнаружен, то вирус считает систему еще не
зараженной и внедряется в нее. Первым делом вирус заражает Word.

1. При заражени Word вирус за две попытки получает экземпляр объекта
‘Word.Application’. Сначала вирус пытается получить экземпляр уже
запущенного приложения и использует для этого функцию GetObject(), затем,
если произошла ошибка обращения к объекту, вирус вызывает CreateObject().
Данный прием используется для того, чтобы вирус получил возможэность записи
своего кода в файл NORMAL.DOT, который в случае уже работающего Word
оказывается закрыт на запись. Если Word не активен, вирус получает объект
‘Word.Application’ обычным путем — функцией CreateObject().

Затем вирус удаляет из шаблона NORMAL.DOT весь присутствующий в нем код,
создает там новую процедуру с именем DisableAV(), копирует туда часть
своего кода (весьма короткая процедура — всего 8 команд), затем вызывает и
удаляет ее. Данная процедура отключает антивирусную защиту Excel и
PowerPoint в системном реестре. Затем вирус копирует свой код в область
глобальных макросов (NORMAL.DOT).

2. Заражение Excel/PowerPoint. На этом этапе процедура заражения переносит
код вируса из Excel в PowerPoint или наоборот в зависимости от типа уже
зараженного приложения. Данная процедура совпадает с аналогичной,
использующейся вирусом при заражении Excel и PowerPoint из документа Word.

В случае, если вирус стартовал из таблицы Excel, то в конце своей работы он
также заражает текущую таблицу Excel.

Процедура активации вируса в PowerPoint имеет дополнительную деталь: она
вызывается с вероятностью 1/7 в зависимости от системного датчика случайных
чисел.