Technical Details
Макро-вирусы семейства для своего распространения используют необычный
прием. Вместо записи макро-программ в область макросов документов вирусы
добавляют к документу ссылку на так называемый “присоединенный шаблон”
(attached template), который и содержит макро-программу размножения вируса.
В результате зараженные документы не содержат маросов, однако при их
открытии Word97 открывает также и шаблон, указанный в документе, и код
вируса получает управление.
В известных версиях вирусов семейства ссылка на зараженный шаблон,
содержащий макросы вируса, указывает на один из серверов Интернет (сервер
хакеров и вирусописателей). Таким образом, присоединенный к документу
шаблон загружается из интернета при каждом открытии зараженного документа,
и находящийся в шаблоне код копируется в системную область макросов
(NORMAL.DOT). Т.к. зараженный шаблон хранится на сервере Интернет, он может
изменен автором в любое время.
Данный способ распространения позволяет вирусам в некоторых случаях обойти
встроенную в Word97 антивирусную защиту (VirusWarning). Как оказалось,
данная защита не срабатывает для присоединенных шаблонов, и вирус “обходит”
защиту этих версий Word97. Данная ошибка Word97 была исправлена компанией
Microsoft в начале 1999г.
Вирус “ATU.b” копирует в системную область макросов не весь код из
загруженного из интернет шаблона, а только ту часть, которая необходима для
заражения документов.
Код вирусов содержит комментарии:
“ATU.a”:
Active Template Update
“ATU.b”:
Active Template Update v0.2 /1nternal
|