Virus.MSWord.ATU

Technical Details

Макро-вирусы семейства для своего распространения используют необычный
прием. Вместо записи макро-программ в область макросов документов вирусы
добавляют к документу ссылку на так называемый “присоединенный шаблон”
(attached template), который и содержит макро-программу размножения вируса.
В результате зараженные документы не содержат маросов, однако при их
открытии Word97 открывает также и шаблон, указанный в документе, и код
вируса получает управление.

В известных версиях вирусов семейства ссылка на зараженный шаблон,
содержащий макросы вируса, указывает на один из серверов Интернет (сервер
хакеров и вирусописателей). Таким образом, присоединенный к документу
шаблон загружается из интернета при каждом открытии зараженного документа,
и находящийся в шаблоне код копируется в системную область макросов
(NORMAL.DOT). Т.к. зараженный шаблон хранится на сервере Интернет, он может
изменен автором в любое время.

Данный способ распространения позволяет вирусам в некоторых случаях обойти
встроенную в Word97 антивирусную защиту (VirusWarning). Как оказалось,
данная защита не срабатывает для присоединенных шаблонов, и вирус “обходит”
защиту этих версий Word97. Данная ошибка Word97 была исправлена компанией
Microsoft в начале 1999г.

Вирус “ATU.b” копирует в системную область макросов не весь код из
загруженного из интернет шаблона, а только ту часть, которая необходима для
заражения документов.

Код вирусов содержит комментарии:

“ATU.a”:



Active Template Update

“ATU.b”:



Active Template Update v0.2 /1nternal