При открытии зараженного файла запускается макрос Auto_Open, который для инсталяции на компьютер запускает макросы Tim, Icn_1, Icn_3, Chk1, Chk2, Dstr, mcr, xl4, Hdn.
Tim - устанавливает срабатывание макроса Hlt через 20 минут. Icn_1 - устанавливает срабатывание макроса bt_1 на меню File/New Icn_3 - устанавливает срабатывание макроса bt_2 на меню File/Close Chk1 - создает в случае первого заражения файл C:\MSOFFICE\EXCEL\XLSTART\EXCELVBA.XLA Chk2 - записывает в файл EXCELVBA.XLA текущий (зараженный) файл Dstr - 5 января стирает файлы C:\WINDOWS\SYSTEM\*.*", "A:\*.*", "B:\*.*", выдает InputBox:
Delta Viruses This Is The Example Of My Viruses ! You Can Modified, Added in Order to be a Good Hacker ! Please Type My Virus Name to Continued or I'll Destroy Your Computer ! < By Bui'95 >
Если имя вируса введено неверно, то выдается MessageBox и завершается работа Word:
Sorry ..!, My Virus Name is Delta
mcr - удаляет содержимое пунктов меню, содержащих строку Macro xl4 - устанавливает имя пользавателя: "Delta Viruses (c)1995 Ver 1.20" Hdn - устанавливает срабатывание макроса Waw на переключение листов, Waw делает листы макроса невидимыми.
Вирус также создает файл C:\MSOFFICE\EXCEL\LIBRARY\EXCELVBS.TXT, записывает в него свой код и затем использует его при заражении.
Macro.Excel.Don
Свой основной код (процедуру заражения) содержит в виде зашифрованных строк, которые при необходимости расшифровывает, копирует в файл \DON.TXT и затем из этого файла копирует в область макросов под именем "Replicate". После выполнения макроса "Replicate" (т.е. после заражения) вирус удаляет его.
При запуске вирус проверяет, каким образом был открыт зараженный файл. Если он был открыт из Startup директории Excel (т.е. система уже заражена), то на функцию срабатывающую при переходе на новый лист (OnSheetDeactivate) устанавливается основная функция вируса (AutoOpen). Таким образом вирус заражает Workbook при смене листов. Если зараженный файл открыт не из Startup-директории, вирус создает там зараженный файл с именем <цифры>.DON и заражает таким образом систему.
Вирус легко распознать по наличию файла в каталоге XLSTART с расширением DON, в котором находится "резидентная" часть вируса. Вирус также создает файл \DON2.TXT и записывает в него имя активного Workbook.
Macro.Excel.Emperor
"Emperor.a": Auto_Open, keyplus, check_file, write_virus, run_virus. "Emperor.b": Auto_Close, CheckFile, WriteVirus, ScreenTool, MenuDelete.
При открытии (закрытии) зараженного файла Excel автоматически выполняет функцию Auto_Open (Auto_Close). В этой функции содержится команда, которая вызывает функцию check_file (CheckFile), которая, в свою очередь, устанавливает на страницу макроса пароль из четырех цифр. Все невидимые окна делает видимыми. Ищет для всех Workbooks модуль с названием "Emperor". Если не находит из одного Workbooks, копирует свой модуль в другой модуль с именем Emperor<число заражения>. Потом обратно закрывает все открытые при заражении окна.
Из Worksheet меню View стирает строку Toolbars, из меню Format - строку Sheets, из меню Tools - пункт Scenario; в Module - Edit/Delete, Tools/Menu Editor, Tools/Protection.
Emperor.a
The First Emperor Ver 1.00 [02/29/1997] [Остальная часть в неизвестной кодировке]
Emperor.b
The First Emperor Ver 1.10 [Остальная часть в неизвестной кодировке]
Macro.Excel.KMaster
Макрос Auto_ouvrir является аналогом авто-макроса auto_open и вызывается при открытии зараженной таблицы. При этом вирус копирует себя в новый файл PERSONAL.XLM в StartupPath Excel и, таким образом, заражает Excel. Вирус также определяет макрос заражения check_files как выполняемый при активизации любой таблицы (Sheet). Таким образом, вирус перехватывает процедуру открытия таблиц и заражает их.
Для идентификации уже зараженных файлов вирус при заражении создает страницу Feuil1 и записывает в ее первое поле строку "Knowledge is power".
Macro.Excel.Laroux
Получив управление, макрос check_files ищет файл PERSONAL.XLS в каталоге запуска Excel (Startup Directory) и проверяет количество модулей в текущем Workbook.
Если активным является Workbook с вирусом, и файл PERSONAL.XLS не существует (первое заражение), то вирус c помощью команды SaveAs создает в каталоге запуска Excel файл PERSONAL.XLS. В результате из текущего файла код вируса записывается в файл PERSONAL.XLS. При очередной загрузке Excel загружает все XLS-файлы из каталога запуске, зараженный файл PERSONAL.XLS также загружается в память, вирус опять получит управление, и при открытии таблиц будет вызываться макрос check_files из PERSONAL.XLS.
Если же количество модулей в текущем Workbook равно 0 (зараженный Workbook не является активным) и файл PERSONAL.XLS уже существует, то вирус переписывает свой код в активный Workbook. После этого активный Workbook становится зараженным.
Проверить систему на наличие вируса несложно. Если вирус уже проник в компьютер, то в каталоге Excel должен присутствовать файл PERSONAL.XLS, в котором видна строка "laroux" (маленькими буквами без кавычек). Эта же строка присутствует и в других зараженных файлах.
Macro.Excel.Legend
При вызове процедура Infect заражает либо файл PERSONAL.XLS (если открыт зараженный файл), либо текущий файл (если он еще не заражен).
После заражения вирус удаляет пункт меню Tools/Macro. Если UserName="Pyro" и OrganizationName="VBB", вирус немедленно прекращает работу и не заражает файлов. В зависимости от текущего дня и системного случайного счетчика вирус выводит MessageBox:
Pyro [VBB] You've Been Infected By Legend!
Macro.Excel.Ninja
При открытии зараженного файла Excel автоматически выполняется макрос auto_open. В вирусе макрос auto_open содержит всего одну команду, которая определяет макрос Infect_Ninja как выполняемый при активизации любой таблицы (Sheet). Таким образом, вирус перехватывает процедуру открытия таблиц, и при активировании таблицы зараженный Excel вызывает макрос Infect_Ninja, т.е. код вируса.
Получив управление, макрос Infect_Ninja ищет файл NINJA.XLS в каталоге запуска Excel (Startup Directory) и проверяет количество модулей в текущем Workbook.
Если активным является Workbook с вирусом, и файл NINJA.XLS не существует (первое заражение), то вирус c помощью команды SaveAs создает в каталоге запуска Excel файл NINJA.XLS. В результате из текущего файла код вируса записывается в файл NINJA.XLS. При очередной загрузке Excel загружает все XLS-файлы из каталога запуске, зараженный файл NINJA.XLS также загружается в память, вирус опять получит управление, и при открытии таблиц будет вызываться макрос Infect_Ninja из NINJA.XLS.
Если же файл NINJA.XLS уже существует, то вирус переписывает свой код в активный Workbook. После этого активный Workbook становится зараженным.
Macro.Excel.Nomercy
Для того чтобы активизироваться при последующих запусках Excel создает в каталоге автозапуска Excel зараженный файл NOMERCY.XLM. В модуле NoMercy2 содержит авто-макрос auto_open. Этот макрос определяет макрос Fuck (процедуру заражения) как выполняемый при активизации любой таблицы (Sheet). Определяет уже зараженные файлы по модулю NoMercy2.
Стирает все пункты меню, которые связаны с макросами и работы со страницами. По понедельникам после 7 часов вставляет в C:\AUTOEXEC.BAT команды форматирования винчестара:
@ECHO OFF CLS ECHO Please wait while setup Updates Your configuration Files ECHO This may take a few minutes... FORMAT C: /U /C /S /AUTOTEST > NUL ECHO Complete !!! ECHO. ECHO. ECHO Result : ECHO All Data Lost!!!
Macro.Excel.Queen
При заражении системы записывает в каталог автозапуска Excel файл GLOBAL.XLM. Файлы заражает при при активизации любой таблицы (Sheet), для этого переопределяет макрос QUEEN.
Macro.Excel.Robocop
1-го марта вирус встявляет в текущую таблицу текст:
ROBOCOP Nightmare Joker [SLAM]
Macro.Excel.Sofa
При открытии зараженного файла срабатывает макро-функция Auto_Open, которая "переименовывает" Excel - вместо надписи "Microsoft Excel" появляется надпись "Microsofa Excel". Если в каталоге Startup Path отсутствует файл BOOK.XLT (система еще не заражена), то на экран выводится сообщение:
Microsoft Excel has detected a corrupted add-in file. Click 'OK' to repair this file.
Независимо от ответа пользователя в каталоге Startup Path создается файл BOOK.XLT, содержащий код вируса. После заражения выводится сообщение:
File successfully repaired!
При загрузке Excel автоматически загружает XLT-файлы из Startup Path и, соответственно, активизирует вирус.
Вирус назначает на функцию OnSheetActivate свою функцию Auto_Range и при каждой активации таблицы проверяет активный файл на зараженность и, если файл не заражен, заражает его.
Вирус не дает выгрузить себя из Excel - при закрытии каждого файла назначает на функцию OnWindow ту же функцию Auto_Range, т.е. повторно активизируется при открытии нового файла.
Macro.Excel.Tjoro
Вирус создает в startup-каталоге Excel зараженный файл GLOBAL.XLM и определяет макрос Fuck из GLOBAL.XLM как выполняемый при активизации любой таблицы (Sheet). Таким образом вирус перехватывает процедуру открытия таблиц и заражает их. При заражении вирус ищет модуль NoMercy, и, если не находит, то создает этот модуль и переписывает туда свое тело из GLOBAL.XLM.
11 числа каждого месяца выдает MessageBox:
Hello... Hello there...you are infected with NoMercy!
Macro.Excel.Yohimbe
Вирус записывает строку "Yohimbe" в заголовок таблицы. Устанавливает таймер на подпрограмму PayLoad - она вызывается в 16:45, вставляет в текущую таблицу картинку и текст: "FUCK YOU BUDDY".
Macro.Excel.Ultras
"Ultras.Cobra": TIMER, Trojan "Ultras.Freezer": Joke
Заражают систему и таблицы при их открытии и закрытии. Также создают зараженный файл в Startup-каталоге Excel, имя файла в зависимости от версии вируса - PERSONAL.XLS или PERSONAL.XLM.
Удаляют пункт меню Tools/Macro (стелс) и файлы популярных антивирусов:
C:\Program Files\AntiViral Toolkit Pro\*.* C:\Program Files\FindVirus\*.* C:\f-macro\*.* C:\Program Files\Command Software\F-PROT95\*.* C:\Program Files\McAfee\VirusScan\*.* C:\Program Files\Norton AntiVirus\*.*
"Ultras.Cobra" 4-го числа ежемесячно записывает в AUTOEXEC.BAT команды форматирования винчестера. По 14-м числам уничтожает файл C:\WINDOWS\REGEDIT.EXE и выводит MessageBox:
ULTRAS You Infected XM.Trojan.COBRA by ULTRAS
По 26-м числам выводит тот же MessageBox и уничтожает файлы: C:\WINDOWS\SYSTEM.DAT, C:\WINDOWS\SYSTEM.DA0.
"Ultras.Cobra.b": в зависимости от номера текущего дня записывает в C:\AUTOEXEC.BAT команду форматирования винчестера.
"Ultras.Freezer" по 14-м числам выводит MessageBox:
ULTRAS You Infected XM.Freezer by ULTRAS
и стирает командой DELTREE все файлы в каталоге C:\PROGRA~1. По 28-м числам выводит тот же MessageBox и стирает файлы C:\WINDOWS\USER.DAT и C:\WINDOWS\USER.DA0.
Macro.Excel.Lord
Если система не заражена, то вирус c помощью команды SaveAs создает в каталоге запуска Excel зараженный файл LORD.XLM. При очередной загрузке Excel загружает все XLS-файлы из каталога запуска включая зараженный файл LORD.XLM. В результате вирус активизируется при каждом запуске Excel.
Вирус содержит строки-комментарии:
------------------------------------------------
Generated with NEG !!. Please include this text ------------------------------------------------ NEG is Trademark of NoMercy http://www.focus-asia.com/home/NoMercyVirusTeam/Neg.html VirusName: Lord Author: Foxz with NEG Module Name: Lord Template: LORD.XLM
Macro.Excel.Extras
При заражении таблиц переписывает свой код в активный Workbook в модуль, имеющий случайное имя. При заражении Excel создает в каталоге автозапуска файл с именем, зависящим от установленной операционной системы:
Операционная система Имя файла -------------------- --------- Windows 3.xx EXTRAS.XLS Macintosh Macintosh Extras Windows 95/NT/... Windows Extras.xls
В зависимости от системного датчика случайных чисел создает каталоги со случайными именами. С 1999 года закрывает несколько случайно выбранных пунктов меню Excel.
Macro.Excel.SW
При открытии зараженного файла Excel автоматически вызывает функцию "auto_open". В вирусе "auto_open" содержит команду, которая определяет функцию "no" как выполняемую при активизации любой таблицы (Sheet). Функция "no" при вызове заражет все активные WorkBooks.
При закрытии таблиц Excel удаляет из них все модули, которые не принадлежат вирусу (имеют имя, отличное от "sw").
Вирус удаляет пункты меню Tools/Macro, File/Macro, View/Toolbars и другие. По субботам и воскресеньям выдает MessageBox:
Ha! Ha! Ha! Idiot ! ! ! Today is rest day! Why do you work so hard? All work and no play make you a dull boy! Come on! Let's go out and have some fun!
Macro.Excel.Neg
При первом открытии зараженной таблицы (если система не заражена) вирус при помощи команды SaveAs создает в каталоге авто-запуска Excel зараженный файл DOLLAR.XLM и таким образом заражает систему.
При открытии зараженных таблиц вызывается авто-функция auto_open, которая определяет функцию Fuck как выполняемую при активизации любой таблицы (Sheet). Функция Fuck содержит процедуру заражения всех активных Workbook.
Удаляет 25 пунктов меню, касающихся работы с макросами (если таковые присутствуют). По 13-м числам дописывает к файлу C:\AUTOEXEC.BAT команды:
@ECHO OFF CLS cd\windows del *.com >nul del *.vxd >nul del *.drv >nul del *.dll >nul
Вирус содержит комментарий:
------------------------------------------------
Generated with NEG !!. Please include this text ------------------------------------------------ NEG is Trademark of NoMercy Date generated : 27- 3- 1998 VirusName: Dollar Author: NEG Module Name: Dollar Template: DOLLAR.XLM