VirusHunter предупреждает всех пользователей ПК о распространении опасного макро-вируса MS_Word.Saver, поражающего компьютеры с установленным редактором Word 97 и Word 2003...


1. Источники распространения и инсталляция в систему.

Saver (в переводе с англ. - "Сохранитель") представляет собой макро-вирус, функционирующий на машинах с установленным ПО MS Office, в состав компонентов которого входит Word 97 (версия 8.0) или Word 2003 (версия 11.0 - компания-разработчик Microsoft реализовала ее [версию] совместимой со всеми предшествующими ей версиями Word, что и послужило причиной работоспособности под ней вируса). Свое название вирус получил за текстовую строку-"копирайт", содержащуюся в его коде:

Saver Virus

, а также за способность создавать на диске копии зараженных им документов. Написан 2 февраля 2000 года в Конотопе, о чем свидетельствует др. текстовая строка-"копирайт" в его теле:

Макрос записан 02.02.00 КОНОТОП

Saver заражает документы, сохраняемые в формате "DOC", а также файлы с настройками MS Office (DOT-файлы). Документы, записанные в формате "RTF", вирус не может заразить, т.к. в структуре последних отсутствуют макро-секции или "макросы" (секции с настройками, связанными с оформлением текущего документа - размера и типа шрифтов, величины полей, расположения объектов и т.д.), что исключает возможность их заражения.
Вирус может быть занесен в машину только через зараженные документы или файлы настроек с вышеуказанными расширениями, если таковые будут открыты пользователем с последующим игнорированием предупреждения встроенной в Word макро-защиты:


Заражение произойдет в том случае, если будет выбрана опция "Не отключать макросы", что почему-то и делает большинство пользователей при появлении данного запроса. После этого Saver отключает встроенную в Word 97 защиту от вирусов в макросах - VirusProtection (под Word 2003 вирус не может этого сделать, т.к. принцип данной защиты там немного др.) и заражает файл шаблона настроек данного редактора:

при Word 97:

C:\Program Files\Microsoft Office\Шаблоны\Normal.dot

при Word 2003:

C:\Documents and Settings\%имя текущего пользователя%\Application Data\Microsoft\Шаблоны\Normal.dot

, изменяя его номинальный размер с 26624 байта на 39424 байта или 27136 байт на 39936 байт (пояснение: Normal.dot может иметь один из двух указанных номинальных размеров, что зависит от некоторых системных условий) для Word 97 (для Word 2003 значение зараженного файла-шаблона может быть различным, поскольку оригинальный размер данного объекта может существенно варьироваться в зависимости от ряда настроек, установленных в Word'е). Затем вирус омертвляет файл Normal.dot, превращая его в дроппер своей программы ("dropper" - пускатель, активатор): изменяет его содержимое таким образом, что управление передается на вирусный код. Этот код вирус сохраняет в создаваемый им файл saver.dll:

при Word 97:

C:\Program Files\Microsoft Office\Office\saver.dll

при Word 2003:

C:\Program Files\Microsoft Office\OFFICE11\saver.dll

Данный файл имеет размер 29696 байт и представляет собой модифицированный вирусом файл-шаблон Normal.dot.


2. Заражение документов.

При запуске Word'а Normal.dot передает управление вирусному "файлу-шаблону" saver.dll. Опыты, проведенные с вирусом на тест-машине, дали следующие результаты:

1. Вирус заражает документы при их закрытии: записывает в их макросекцию свой код, используя собственный макрос AutoSave ("Автосохранение"). При этом вирус блокирует стандартный запрос о подтверждении сохранения документа с внесенными в него изменениями, в результате чего все произведенные в документе изменения как вирусом, так и пользователем, автоматически сохраняются без ведома последнего.

2. В том случае, если документ был просто открыт пользователем или редактировался и запоминался через опцию "Сохранить", вирус заражает этот документ; если же последний перезапоминался пользователем через опцию "Сохранить как...", то вирус заражает только пересохраненный документ, а исходный оставляет без изменения. При этом и в том, и в др. случаях увеличение размера файлов после заражения зависит от ряда условий и не имеет точного значения.

3. Учитывая тот факт, что вирус заражает документы повторно даже просто при их просмотре без внесения пользователем каких-либо изменений, размер файлов постоянно увеличивается, в связи с чем на старых машинах с жесткими дисками небольшого объема свободное место очень быстро уменьшается. Также может наблюдаться сильное торможение машины при работе с Word'ом, что связано с дополнительными затратами ресурсов оперативной памяти на обработку "раздутых" вирусом макросекций зараженных документов и в конечном итоге может стать реальной причиной зависания последних при их открытии.

4. После заражения первого документа на чистой машине вирус создает свой подкаталог:

при Word 97:

C:\Program Files\Microsoft Office\Office\Doc_Copy\

при Word 2003:

C:\Program Files\Microsoft Office\OFFICE11\Doc_Copy\

, в который копирует каждый из вновь зараженных документов. Впоследствии, если имя текущего открытого документа, заражаемого вирусом (повторно или первый раз - не имеет значения) совпадает с именем копии документа, уже находящейся в каталоге "Doc_Copy", то вирус, в зависимости от своих внутренних счетчиков, может перезаписать оригинальное содержимое текущего документа содержимым из файла-копии, что влечет безвозвратную потерю содержимого текущего документа.
Также существует вероятность утечки конфиденциальных данных в том случае, если за машиной работает несколько пользователей: например, один из них работает с дискеты с документом, содержащим секретную финансовую или какую-либо др. информацию, которую не должны знать остальные пользователи. Однако после того, как вирус создаст копию данного файла в папке "Doc_Copy", содержимое документа может быть доступно для просмотра др. пользователям данного компьютера.

5. После закрытия Word'а программа вируса автоматически отключается - срабатывает вирусный макрос AutoClose ("Автоматическое закрытие").


3. Прочее.

При запуске редактора MS Power Point вирус никак себя не проявляет, не отключает макро-защиту последнего и не заражает никаких файлов с презентациями.
При запуске редактора MS Excel появляется предупреждение макро-защиты, аналогичное Word'овскому, но, даже если его проигнорировать и не отключать макросы, вирус не отключает макро-защиту Excel и не заражает файлов с электронными таблицами, т.к. изменение и хранение макро-настроек последнего отлично от тех, которые использует Word.


4. Лечение машины от вируса.

Не рекомендую лечить зараженные данным вирусом файлы (равно, как и прочими макро-вирусами) антивирусной программой DrWeb , т.к. он всегда некачественно пролечивает макро-секции файлов, оставляя основную часть макро-кода вирусов в неизменном виде. Открытие таких "вылеченных" файлов на чистой машине влечет за собой появление предупреждения макро-защит Word- и Excel-редакторов о наличии в макросах документа подозрительного фрагмента. Обычный пользователь не может определить, что стартовый код вируса уже удален из файла, а считает, что имеет дело с "вирусом", причем новым, не детектящимся ни одной из антивирусных программ по вышеуказанной причине.

С января 2005 года номенклатурные названия вируса некоторыми из антивирусных компаний были заменены на следующие:

Антивирус Kaspersky AntiVirus: Virus.MSWord.Saver

Антивирус Trend PC-cillin: W97M_DOCOPY.A

Антивирус BitDefender Professional: W97M.Saver.E

Антивирус DrWeb: W97M.Saver

После удачного лечения машины вирусный компонент saver.dll и подкаталог "Doc_Copy" можно удалить вручную.


5. Восстановление макро-защиты в MS Word 97.

Следуйте следующим панелям/опциям:

для русской версии MS Office 97:

Пуск -> Программы -> MS Word -> Сервис -> Параметры -> Общие -> защита от вирусов в макросах (отметьте "птичкой") -> ОК

для английской версии MS Office 97:

Start -> Programs -> MS Word -> Service -> Options -> General -> virus-security in macros (отметьте "птичкой") -> OK


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 23.12.2003
Дата внесения последних изменений: 03.10.2006
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00347781181335