VirusHunter предупреждает всех пользователей ПК о распространении опасного макро-вируса MS_Word.PsycloneX.barik (aka W97M.Onex), поражающего документы Word 97/2000/2003...


1. Распространение вируса и инсталляция в систему.

Единственным источником распространения вируса являются инфицированные документы MS Office. MS_Word.PsycloneX.barik написан на языке Microsoft Visual Basic и откомпилирован в макро-формат Word. Поражает машины с установленным редактором MS Word 97 (версия 8.0), Word 2000 (версия 9.0) или Word 2003 (версия 11.0 - компания-разработчик Microsoft реализовала ее [версию] совместимой со всеми предшествующими ей версиями Word, что и послужило причиной работоспособности под ней вируса).
Вирусный код записывается в макро-секции файлов (участки кода, содержащие информацию об оформоении файла: типах шрифтов, размерах полей и т.п.), используя имеющееся в них свободное резервное пространство, а также удлиняя эти участки. Записывается в файлы как макро-"проект" "NEWVIR" и содержит в своем коде следующие 11 макросов (подпрограмм):

AutoOpen
FilePrint
FilePrintDefault
FileSave
FileSaveAs
FileTemplates
HelpAbout
NEWVIR
Pig
ToolsMacro
ViewVBCode


Детально о назначении каждого из этих макросов будет сказано позднее при описании вредоносных процедур, производимых вирусом.
При запуске инфицированного документа, если пользователем будет проигнорировано предупреждение встроенной в Word макро-защиты (см. описание макро-вируса MS_Word.Saver), то происходит автоматический запуск вируса (включается процедура AutoOpen). Сперва вирус обращается в системный реестр, откуда считывает местоположение шаблона настроек редактора Word - файла Normal.dot. Местоположение данного файла следующее:

при Word 97:

C:\Program Files\Microsoft Office\Шаблоны\Normal.dot

при Word 2000:

может быть различным, поскольку зависит от версии Windows-системы, в которой устанавливалось ПО MS Office.

при Word 2003:

C:\Documents and Settings\%имя текущего пользователя%\Application Data\Microsoft\Шаблоны\Normal.dot

При записи кода вируса в этот файл с последующим подключением к конфигурациям Word'а вирусных функций (включается процедура FileTemplates) номинальный размер файла Normal.dot увеличивается с 26624 байтов на 43008 байт или с 27136 байт на 43520 байт. Данные изменения значений номинального размера приведены для MS Word 97 (пояснение: Normal.dot может иметь один из двух указанных номинальных размеров, что зависит от некоторых системных условий). Измененный размер соответствующего файла настроек для редакторов MS Word 2000/2003 сообщить затрудняюсь, т.к. опыты на тест-машине проводились только с Word 97, однако очевидно, что приращение размера для зараженного файла Normal.dot также составит 16384 байта.
Заразив файл Normal.dot, вирус ищет каталог с установленной ОС Windows. Этот каталог вирус ищет как C:\WINDOWS (данное расположение встречается наиболее часто) и никак иначе. В результате этого, если система установлена в любой др. каталог, отличный от указанного, то вирус, очевидно, не сможет нормально функционировать, поскольку для своей деятельности создает в данном каталоге следующие 2 файла (включается процедура NEWVIR):

C:\WINDOWS\PCSB.inf
C:\WINDOWS\Dte.inf

Первый файл, PCSB.inf, извлекается вирусом из своего тела и имеет размер 3076 байт. Представляет собой компонент вируса, записанный в виде последовательности логических команд на языке Microsoft Visual Basic. Содержит в себе основной функционал вируса.
Второй файл, Dte.inf, имеет размер 9 байт и содержит в себе зашифрованные в форме цифрового кода данные - дату и время, когда вирус поразил файл Normal.dot. В дальнейшем вирус обращается к этому файлу, чтобы в зависимости от текущего времени и даты осуществлять различные вредоносные действия.


2. Заражение документов.

Вирус поражает файлы-документы, выполненные в форматах DOC и RTF; файлы настроек (DOT-файлы) не трогает (единственным исключением является вышеуказанный файл с названием Normal.dot).
При запуске Word'а (опять же включается вирусная процедура AutoOpen) процедура заражения вновь создаваемых и уже существующих открываемых документов производится вирусом по следующей схеме:

 - если создается и заполняется новый документ, после чего для сохранения пользователь использует опцию Сохранить, то документ автоматически сохраняется под названием "Документ1.doc" в каталог "по умолчанию" - C:\Мои документы. При этом никаких подтверждений на указание пути и имени файла на экран не выдается, а файл заражается при его закрытии (включается процедура FileSave);

 - если открытый файл пересохраняется через опцию Сохранить как, то при закрытии исходного и пересохраненного файла они оба будут заражены (включаются процедуры FileSave и FileSaveAs);  - если файл сохраняется или пересохраняется в формате, отличном от DOC (например, RTF, TXT HTML и т.д.), то вирус все равно сохранит файл в формате DOC (включается процедура FileTemplates), а имя и расширение оставит то, которое выбрал пользователь. При закрытии данный файл также будет заражен - для этого вирус и сохраняет его в DOC-формате. Исключением здесь опять же является DOT-формат - после сохранения файл НЕ будет заражен.

В результате таких манипуляций, читабельными после сохранения будут только файлы с расширениями DOC, DOT и RTF; для читабельности файлов, сохраненных с др. расширениями, такими, как, например, TXT или HTML, необходимо просто заменить их расширения на DOC;

 - если у документа имеется атрибут "read only" (только для чтения), то вирус не может его заразить.

Каждый документ вирус заражает только 1 раз, проверяя его (документа) содержимое на наличие своей копии (проверка осуществляется по трем фрагментам вирусного кода). При заражении файлов их размер увеличивается в среднем на 16.3 кб.
Вирус завершает свою работу при закрытии Word'а.


3. Вредоносные действия.

Как уже было сказано выше, файл PCSB.inf содержит основные процедуры вируса, включая и вредоносные. К каждой из процедур автор вируса подписал комментарии на русском языке. Чтение из данного файла производится при помощи вирусной процедуры ViewVBCode.
Вредоносные процедуры, производимые вирусом, заключаются в следующем:

Поздравляю, если Вы здесь,
значит еще что-то можете,
так что дерзайте, Вас оценили ...
С уважением АВТОР
**************************************


Безобидный комментарий, адресованный, очевидно, тому, кто обнаружит данный файл.

Отключение чего надо ...

Вредоносная процедура. Вирус отключает в редакторе Word следующие настройки:

 - встроенную защиту от макро-вирусов, после чего Word не реагирует на открытие зараженных документов и не предупреждает об опасности пользователя;
 - в подменю Word'а (по крайней мере, 97 и 2000) блокируются такие процедуры:

Сервис -> Шаблоны и настройки;
Сервис -> Макрос -> Макросы…;
Сервис -> Макрос -> Редактор Visual Basic;
? -> О программе….

Данные отключения производятся при помощи вирусных процедур ToolsMacro и HelpAbout. Очевидно, что это сделано для сокрытия присутствия вируса в системе при просмотре и редактировании содержимого шаблонов с настройками редактора.
Для Word 2000 отключение макро-защиты производится путем изменения соответствующего значения "Level" в ключе реестра

[HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security]

Для Word 2003 вирус не может осуществить отключение, т.к. принцип данной защиты в приложениях MS Office 2003 немного др.

сохранение тела куда надо ...

Эта процедура используется для изначального создания файла C:\WINDOWS\PCSB.inf, который вирус в дальнейшем может зачем-то многократно перезаписывать.

Если шаблон не инфицирован, запомнить дату заражения куда надо ...

Эта процедура используется для изначального создания файла C:\WINDOWS\Dte.inf, когда системный шаблон Normal.dot еще не заражен; после внедрения вируса в данный файл перезапись файла Dte.inf не производится.

Оставление комментария куда надо

Вредоносная процедура, которая, однако, не работает по причине какой-то ошибки в коде вируса. При отсутствии ошибки должно было бы происходить следующее: если пользователь работает с документами в период времени с 6 часов вечера до 8 часов утра, то вирус дописывает к содержимому каждого открытого документа Word следующий текст:

Работать надо в рабочее время. Барик !!!

При закрытии документов вирус автоматически сохраняет их оригинальное содержимое вместе с указанным текстом.

Проверка чего надо, дабы не помереть и размножиться

Процедура, связанная с проверкой и заражением открываемых документов.

На этих строка я очень долго трахался с антивирусом
пока не добавил переменную для обмана


Какие отношения связывали автора вируса с антивирусом и чем они там занимались - мне неизвестно, но назначение указанной в коде процедуры и ее работоспособность в частности находится под большим сомнением. Эта же процедура содержит и такие комментарии:

А вы говорите цацки-пецки
Ожидайте новый релиз !!!
Мы еще повоюем ...


Вирусная подпрограмма с экзотическим названием Pig (свинья) содержит в себе 2 подпрограммы:

Чтение даты заражения откуда надо

Вирус проверяет сколько времени прошло с момента заражения системы, расшифровывая и считывая данные из своего файла C:\WINDOWS\Dte.inf.

Если со времени заражения прошел месяц, активировать вирус

По истечении 30-ти дневного срока вирус полностью блокирует работу Word'а: при попытке открытия, создания и последующего сохранения или вызова документов на печать (задействуются процедуры FilePrint, FilePrintDefault, HelpAbout, NEWVIR и Pig) они (документы) автоматически закрываются, а на экран выдается ложное сообщение "об ошибке":


Кстати говоря, это же сообщение вирус также выдает еще до завершения 30-ти дневного срока в том случае, если пользователь пытается запросить информацию через подменю ? -> О программе….
Как уже было сказано выше, вирус считывает дату и время своей инсталляции из файла C:\WINDOWS\Dte.inf, который создает только 1 раз - изначально, при заражении системы. Этой недоработкой можно воспользоваться для разблокировки Word'а в том случае, если у Вас в машине отсутствует антивирусная программа. Удалив файл Dte.inf, Вы, тем самым, исключите возможность блокирования вирусом работы с документами.


4. Прочее.

В коде вируса (в зараженных файлах) присутствуют следующие технические строки и авторские строки-"копирайты":

[Host Extender Info]
&H00000001={3832D640-CF90-11CF-8E43-00A0C911005A};VBE;&H00000000


Word 97/2k.Extra - Psyclone X
My first virus for the year 2k



5. Лечение машины от вируса.

Не рекомендую лечить зараженные данным вирусом файлы (равно, как и прочими макро-вирусами) антивирусной программой DrWeb, т.к. он всегда некачественно пролечивает макро-секции файлов, оставляя основную часть макро-кода вирусов в неизменном виде. Открытие таких "вылеченных" файлов на чистой машине влечет за собой появление предупреждения макро-защит Word- и Excel-редакторов о наличии в макросах документа подозрительного фрагмента. Обычный пользователь не может определить, что стартовый код вируса уже удален из файла, а считает, что имеет дело с "вирусом", причем новым, не детектящимся ни одной из антивирусных программ по понятным причинам.
На момент создания данного описания антивирусные программы обнаруживают вирус и его компонент под следующими номенклатурными названиями:

Антивирус Kaspersky AntiVirus:
в зараженных файлах: Virus.MSWord.Pcsb (лечит файлы)
в зараженном шаблоне Normal.dot: параллельно Virus.MSWord.Onex и Virus.MSWord.Pcsb (лечит файл)
файл PCSB.inf: Virus.MSWord.Pcsb (подлежит удалению)

Антивирус BitDefender Professional:
в зараженных файлах: W97M.Nid.C (лечит файлы)
в зараженном шаблоне Normal.dot: W97M.Nid.C (лечит файл)
файл PCSB.inf: игнорирует как вредоносный код

Антивирус DrWeb:
в зараженных файлах: W97M.Barik (лечит файлы)
в зараженном шаблоне Normal.dot: W97M.Onex (лечит файл)
файл PCSB.inf: W97M.Barik (подлежит удалению)


6. Восстановление макро-защиты в MS Word 97/2k.

Инструкцию по восстановлению защиты в Word 97 от макро-вирусов см. здесь: MS_Word.Saver. Для Word 2000 необходимо произвести аналогичные действия.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 01.08.2005
Дата внесения последних изменений: 03.10.2006
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00336813926697