UNIVERSIDADE DO VALE DO RIO DOS SINOS - UNISINOS TRABALHO DE SEGURANA PROFESSOR: LEANDRO BERTHOLDO ALUNO: ADEMIR WUNSCH

VRUS DE MACRO

Estrela, 20 de junho de 2000.

SUMRIO

1 - VRUS DE MACRO...........................................................................................................................3 2 - VRUS x PROBLEMAS....................................................................................................................4 3 COMO PROTEGER-SE DE VRUS DE MACRO..............................................................................5 4 COMO SABER SE PEGAMOS UM MACRO-VRUS.......................................................................5 5 POSSUO ARQUIVOS COM MACRO-VRUS, E AGORA?..............................................................6 6 - REMOO DE VRUS SIMPLES......................................................................................................7 7 - REMOO DE VRUS COMPLEXOS..............................................................................................8 8 - PREVENINDO-SE CONTRA INFECES POR MACRO-VRUS....................................................9 9 ALGUNS VRUS DE MACRO E SUAS CARACTERSTICA..........................................................10 10 CONCLUSO...............................................................................................................................18 11 - BIBLIOGRAFIA............................................................................................................................19

2

1 - VRUS DE MACRO (MACRO VIRUSES) Este tipo de vrus age atravs de macros embutidas em um documento do Word, ou mais recentemente nas planilha do Excel. A simples abertura do documento pode ativar tal vrus. Quando a macro ativada (em geral a macro AutoOpen - tipo de Autoexec das macros) os comandos nela existente se autocopia, alm que qualquer outra macro que o vrus necessite, em geral para a memria e em muitas vezes para o MODELO global do Word, o arquivo NORMAL.DOT, a partir do qual o vrus contaminar qualquer novo documento que for criado, ou qualquer documento que for aberto. partir deste momento os vrus de Macro tentam se disseminar para outros documentos, seja atravs da troca de disquetes, seja pela Rede Local, ou mais recentemente pelas mensagens de E-mail da Internet. Documentos so muito mveis, muito mais que arquivos executveis, passando de moem-mo (e portanto de mquina em mquina) entre colegas de trabalho, amigos e outras pessoas, que ao escreverem, editarem, ou simplesmente lerem tais arquivos se contaminaro pelo vrus de Macro. Tal caracterstica causa uma verdadeira epidemia - em pouqussimas horas - dentro de pequenas ou grandes empresas. Os vrus de macro tiveram surgimento em meados de 1995. Naquele ano surgiu o vrus Concept, que finalmente deu salto um quntico na tecnologia de construo de vrus, j que agora o vrus se tornou um conjunto de macros (comandos de programao interna) que so executadas de dentro de documentos do programa Word, atravs da macro AutoOpen, que uma macro que sempre se auto-executa a cada abertura do documento (pelo programa Word). Embora tal vrus no seja destrutivo, a ele se seguiram outros, que passaram a ser chamados de Vrus de Macro, e que podem causar grandes estragos aos documentos e a outros arquivos do disco. Com o surgimento dos vrus de macro abriu um novo flanco na guerra os vrus x nosso micro, j que os novos pestinhas agora vm dentro de arquivos de dados (nossas planilhas ou nossos documentos de texto). Esse flanco de muito maior extenso, j que qualquer micro possui, em mdia, de 30 a 100 programas instalados, mas possui no mnimo uns 300 arquivos de dados de planilha e texto. Alm disso, esse flanco extremamente sujeito ao ataque desses vrus, pois todos ns, de inmeras maneiras passamos nossos documentos e planilhas para outros, sejam colegas, chefias, clientes, etc, e os recebemos de volta, em muitos casos, com alteraes. Isso significa, em suma, um enorme trfego de arquivos - agora sujeitos a ataques de vrus - entre diversos micros e, portanto, pessoas.

3

Assim sendo, hoje, a chance de um de ns pegar vrus de macro, muito maior que a de pegar um vrus de programa ou de boot. lgico que isto no quer dizer: estamos livres dos outros tipos - no precisamos mais preocuparmos com eles. Em 1996 surgiu o primeiro, e ainda parece que o nico, vrus que se aloja em planilhas do Excel, o Vrus Laroux, embora no tenha conhecimento de ataques deste vrus no Brasil. Atualmente pelo menos 60% dos novos vrus descobertos no mundo so do tipo Vrus de Macro. Alm de tudo so mais fceis de escrever que os demais tipos de vrus.

2 - VRUS x PROBLEMAS A maioria das pessoas acredita que a ameaa representada pelos vrus de computador uma coisa sem importncia, algo que um simples escaneamento de alguns arquivos uma vez por ms basta para que no tenhamos que nos preocupar novamente at o prximo ms. Isto seria muito bom se fosse verdade. Porm a cada dia que passa novos vrus aparecem com muitas variantes, em geral mais tipos de vrus que seu original - aparecem a cada dia, e cada vez em maior quantidade. A cada gerao novas tcnicas de encriptao, ou invisibilidade so desenvolvidas, e um pacote anti-vrus bom pode virar algo completamente imprestvel do dia para a noite. Todos temos de estar alertas permanentemente para cobrir pelo menos 3 reas: 1. Evitar a entrada de vrus em nossas mquinas; 2. Checar a existncia de vrus em hibernao em nossos discos; 3. Atentar para sinais que exteriorizem os tipos de sinais de infeco e/ou ataque dos vrus mais conhecidos; Aps ns nos certificarmos da cobertura destas 3 reas, devemos garantir pelo menos 3 aes: 1. Atualizar os arquivos de dados dos anti-vrus pelo menos 1 vez a cada 2 meses; 2. Possuir pelo menos 2 anti-vrus de reconhecida eficcia; 3. No ler um disquete, ou se conectar a um drive de rede local, sem antes escanea-lo, usando os recursos mximos que seu melhor escaneador de vrus possua.

4

3 - COMO PROTEGER-SE DE VRUS DE MACRO Para proteger-se de forma simples dos vrus de macro do Microsoft Word 7.0 basta fazer uma pequena alterao nas configurao do programa. Na barra de menu do Word abra o menu Ferramentas e selecione o tem Opes (ltimo da lista). Selecione a aba Geral e marque a opo que diz "Ativar proteo contra vrus de macro". Este processo no ir eliminar o vrus dos arquivos contaminados, porm evitar que ele tenha efeito em seu computador.

4 - COMO SABER SE PEGAMOS UM MACRO-VRUS Na verdade muitos usurios nem se incomodam com essa questo de vrus, e menos ainda em se tratando de Macro-Vrus, algo que ainda desconhecido da maioria mais leiga. Mas assim que coisas estranhas passam a ocorrer eles se desesperam e logo vo imaginando um vrus destruidor, com a consequente perda total de seus dados. Primeiro vamos deixar claro alguns pontos importantes:

A maioria dos Macro-Vrus no causa nenhum dano, pelo menos intencional; Com o uso de um bom pacote Anti-Vrus, e sempre atualizado, dificilmente um vrus contaminar seus arquivos;

Principais Sintomas de Contaminao, por Macro-Vrus:

Seu documento no consegue mais ser salvo como DOC, o Word insiste em salv-lo como modelo (.DOT); Nas janelas do "Meu Computador" ou do "Windows Explorer", os cones dos seus documentos se parecem um pouco diferentes do que voc conhecia (Uma folha de papel com um grande W), e agora so como um "Bloco de papel com um grande W" (o cone exato de um modelo do Word);

Aparecem palavras, ou frases, estranhas - ou indecentes - no meio dos documentos (em geral em ingls ou espanhol); Ao salvar um arquivo, que voc j utilizava anteriormente, de repente solicitada uma senha para gravao; Ao tentar abrir ou salvar um documento aparece uma janela de mensagem indicando "Wordbasic ERR=7", ou similar; Ao abrir o menu Ferramentas * Macro * Macros... voc descobre, horrorizado, que existe uma - ou mais - das seguintes macros, na janela que se abre:

5

a678 AutoExec AutoClose AutoOpen AAAZAO AAAZFS ATOM Cryptic Citpycr DateiSpeichern

DrawBringingInFrOut DropSuriv FileOpen FileSave FileSaveAs FileExit FilePrint FilePrintDefault InsertPayLoad InsertPBreak

InsertPageBreak I8U9Y13 K NEWAO NEWFS NOP PARASITE PayLoad StartofDoc ToolRepaginat

Ao tentar abrir o menu Ferramentas * Macro * Macros... voc descobre, mais horrorizado ainda, que no h mais tal opo no menu Ferramentas; Voc descobre que o arquivo WINWORD6.INI contm uma nova linha com o seguinte comando: ww6=1;

5 POSSUO ARQUIVOS COM MACRO-VRUS, E AGORA? Bom todos esses conselhos no ajudaram, voc j estava contaminado!. O que podemos fazer para no perdermos nossos mais importantes documentos?. Respostas existem, e elas dependem das ferramentas que voc possui, dos conhecimentos e/ou segurana que voc possui, e da importncia relativa de seus diversos tipos de documentos. Nos itens 5 e 6 que sero apresentados a seguir analisaremos passo-a-passo formas que permitem a voc executar as tarefas necessrias para eliminar os Macro-Vrus e/ou recuperar os documentos mais importantes. O item 6 permite tratar adequadamente com os Macro-Vrus mais simples, que no possuam tcnicas de stealth mais desenvolvidas (isto , no removem o menu Ferramentas * Macro), enquanto o item 7 (remoo de vrus complexos) permite tratar com os casos de Macro-Vrus mais complexos (isto , removem a opo Macro do menu Ferramentas).

6 - REMOO DE VRUS SIMPLES Para a remoo de vrus cujo poder nocivo no to elevado podemos adotar os seguintes procedimentos:

6

A. Rode seu Anti-Vrus preferido, se possvel com uma atualizao de seus arquivos de dados de

no mximo 30 dias. Cheque todos os arquivos, e no apenas os Arquivos de Programa;B. Se seu Anti-Vrus detectar o vrus tente a remoo do vrus;

C. Se no foi detectado nenhum vrus usando sua mquina, tente em outra mquina, se possvel que tenha um Anti-Vrus mais atualizado que a sua, ou que tenha um outro Anti-Vrus (s vezes o Scan-Virus detecta um vrus que o Norton Anti-Vrus no detecta, e vice-versa); D. Delete a macro (na verdade o prprio vrus) manualmente e recupere o documento:1.

Feche o Word e renomeie o arquivo NORMAL.DOT (ex.: NORMAL.TOD); Abra novamente o Word;

2. Faa uma cpia de cada documento contaminado;3.

4. Carregue o arquivo original contaminado; 5. Remova as macros, que aparecerem no menu de macros, fazendo: I -Se for o Word 6 ou o Word 7: a - Selecione Ferramentas * Macro; b - Na lista de macros disponveis, clique a opo Todos os Modelos Ativos; c - Selecione cada macro suspeita, ou todas, e pressione o boto [EXCLUIR], e confirme clicando no boto [OK]; II - Se for o Word 97: a -Selecione Ferramentas * Macro * Macros...; b - Na lista de macros disponveis, clique a opo Todos os Modelos e Documentos Ativos; c - Selecione cada macro suspeita, ou todas, e pressione o boto [EXCLUIR], e confirme clicando no boto [OK]; 6 - Selecione o documento inteiro, bastando pressionar [CTRL][A]; 7 - Retire a marca de final de pargrafo, do final do documento, da seleo efetuada, pressionando [SHIFT][SETA P/ESQUERDA]; 8 - Faa a cpia do texto marcado para a memria, pressionando [CTRL][C]; 9 - Crie um documento novo, clicando no cone Novo, na barra de ferramentas; 10 - Cole o texto copiado anteriormente, para a memria, no novo documento, bastando pressionar [CTRL][V]; 11- Salve seu documento sob um novo nome; Repita os passos acima, entre o passo 4 e o passo 11, para cada documento importante que voc necessite de recuperar manualmente, no esquecendo de deletar os documentos contaminados logo aps.

7

Ateno: dependendo do vrus estes passos podero no ser passveis de xito. Com novos vrus, que esto aparecendo a toda hora, certamente novas dificuldades sero colocadas para se tentar a recuperao manual. Por isso esteja sempre alerta, e tenha sempre a ltima atualizao de seu AntiVrus;

7 - REMOO DE VRUS COMPLEXOS Este mtodo ideal para remover Macro-Vrus mais complexos, como o CAP. Ele funciona aps renomear o modelo NORMAL.DOT e posteriormente inserindo o arquivo contaminado num novo documento.A. Rode seu Anti-Vrus preferido, se possvel com uma atualizao de seus arquivos de dados de

no mximo 30 dias. Cheque TODOS os arquivos, e no apenas os Arquivos de Programa;B. Se seu Anti-Vrus detectar o vrus tente a remoo do vrus;

C. Se no foi detectado nenhum vrus usando sua mquina, tente em outra mquina, se possvel que tenha um Anti-Vrus mais atualizado que a sua, ou que tenha um outro Anti-Vrus (s vezes o Scan-Virus detecta um vrus que o Norton Anti-Vrus no detecta, e vice-versa); D. Parta para a remoo manual do vrus:1. 2.

Feche o Word; Renomeie o modelo NORMAL.DOT (ex: NORMAL.TOD); Selecione o menu Inserir * Arquivo; Selecione um dos arquivos contaminados, e clique no boto [OK];I.

3. Abra um documento novo;4. 5.

6. Veja se existe alguma macro no documento (no deveria haver nenhum!): se for o Word 6 ou Word 7:a. b.

Clique na opo Macro, do menu Ferramentas; Em Macros Disponveis..., selecione Todos Modelos Ativos; Selecione o menu Ferramentas * Macro * Macros...; Em Macros em..., selecione Todos Modelos e Documentos Ativos;

II. se for o Word 97: c. d.

7. Salve o documento com um novo nome; 8. Delete o documento original, contaminado; Repita os passos acima, entre o passo 3 e o passo 7, para cada documento importante que voc necessite de recuperar manualmente, no esquecendo de deletar os documentos contaminados logo aps (passo 8).

8

Ateno: dependendo do vrus estes passos podero no ser passveis de xito. Com novos vrus, que esto aparecendo a toda hora, certamente novas dificuldades sero colocadas para se tentar a recuperao manual. Por isso esteja sempre alerta, e tenha sempre a ltima atualizao de seu AntiVrus;

8 - PREVENINDO-SE CONTRA INFECES POR MACRO-VRUS Algumas medidas preventivas podem ser tomadas para proteger-nos de infeces por Macro-vrus, entre elas as mais efetivas so: 1. Tenha certeza de utilizar a proteo de um bom Anti-Vrus. A proteo ser mais eficaz se o(s) produto(s) for(em) instalado(s) em cada micro que faa parte do seu grupo de trabalho;2.

Cheque sempre cada arquivo que voc receber, no esquecendo de sempre deixar ligada a opo de escanear todos os arquivos, principalmente nos casos de receber os arquivos por meio de um disquete, ou baixados da Internet ou de outro Servidor da Rede Local;

3.

Se seu produto Anti-vrus possuir um mdulo de Shield (tal como o VShield do ScanVirus) deixe-o permanentemente ligado, jamais desligando tal proteo, mesmo nos casos de instalao de novos softwares, que muitas vezes pedem para o usurio encerrar todos os programas em uso antes da instalao (se for o caso desligue todos os aplicativos em uso exceto o Shield Anti-vrus); Diferentemente dos vrus mais tradicionais - que existem no mundo como aplicaes

executveis, os Macro-vrus so cdigos anexados a documentos, como macros do programa aplicativo. Mais de 94% dos casos se aplicam ao MS-Word. Em geral o vrus ativado ao simples ato de abrir um documento contaminado. E embora a maioria dos Macro-vrus sejam apenas um pequeno estorvo, outros podem causar - e em geral o fazem - estragos nos documentos, ou ainda formatar um disco rgido. Como, por definio, um vrus um programa cuja caracterstica fundamental a disseminao da contaminao, uma vez o usurio abrindo um arquivo infectado, os novos documentos que forem abertos, e todos os documentos novos, gerados partir desse instante, tambm estaro infectados. Como pudemos ver anteriormente, a linguagem de macros, existentes nas novas aplicaes, um vetor deveras importante, para a rpida propagao desse tipo de mau uso, por parte de deformados mentais, que utilizam principalmente o Word para criar, a cada dia, novos e mais poderosos vrus de computador. Todos os usurios de computador devem estar cientes dos riscos causados pelos ataques dos Macro-vrus, e dos passos que devem tomar para se prevenir das infeces.

9

As principais recomendaes, para os usurios do Word, podem ser resumidas a:1.

Seja cuidadoso quando for abrir arquivos criados por outros usurios: Macro-vrus se espalham quando arquivos do Word so passados de uma pessoa para outra. Cuidados especiais devem ser tomados ao se abrir arquivos baixados pela Internet, ou aqueles que venham anexados a E-mails;

2.

Use Anti-Vrus que tenham atualizaes constantes: Anti-vrus que devem estar com menos de 60 dias de idade - o ideal se utilizar daqueles pacotes que tenham atualizaes mensais. As atualizaes devem - obrigatoriamente - ser disponibilizadas pela Internet, facilitando assim a vida dos usurios;

3.

No deixe de utilizar as ferramentas de proteo da Microsoft: Tal como o utilitrio MVTOOL (Macro Viruses Tool) - que permitem avisar os usurios da presena de vrus. Algumas dessas ferramentas esto embutidas nas verses mais novas do Word, como o Word 7.0.a, e a verso 97 do Word, enquanto outras devem ser baixadas pela Internet, para aumentar a segurana de seus dados;

A Microsoft disponibiliza, atravs de seu Word Site na Internet, algumas ferramentas, como pode ser visto na tabela abaixo: Word 6.x: a ferramenta de escaneamento deve ser baixada e instalada; Word 95: idem; Word 95a: a ferramenta de escaneamento j se encontra embutida no produto;

Word 97: idem, mas a Microsoft recomenda instalar uma nova proteo - por senha - para o modelo NORMAL.DOT;WINWORD6.INI contm uma nova linha com o seguinte comando: ww6=1;

9 - ALGUNS VRUS DE MACRO E SUAS CARACTERSTICAS Vrus Vicinity (Tipo: Vrus de Macro; Origem: Alemanha) Caractersticas / Sinais de Infeco / Problemas que Acarreta: Um novo vrus de Macro est circulando por a: chama-se VICINITY e ataca as verses do Word. Muito embora ele s ataque e se espalhe atravs da verso em ALEMO do Word, tambm contamina as demais verses, muito embora nestes casos apenas se copie para o modelo global (o NORMAL.DOT) e pare de agir partir desse ponto. Na verso em alemo este vrus infecta os arquivos do Word com as seguintes macros: AUTOOPEN; EXTRASMAKRO; DATEIDOKVORLAGEN enquanto no modelo global ele anexa as seguintes macros: DATEISPEICHERN; EXTRASMAKRO; DATEIDOKVORLAGEN

10

O vrus est programado para checar em que ambiente est rodando (Windows 3.1 ou Windows 95), e qual verso do Word est sendo usada (6.0 ou 7.0). O vrus usa tais informaes para remover o atributo de "somente leitura" do modelo global. A mudana desse atributo feita por um programa batch que recebe os nomes de SYSLOG1.bat ou SYSLOG2.bat (localizado no diretrio raiz). As datas de ataque conhecidas so: 15/01, 15/06, 15/07 e 15/11. Na primeira data ele apenas fez algumas trocas de textos dentro dos documentos atingidos. Na segunda data ele checa a existncia do arquivo WGFE.exe (que faz parte do pacote Anti-Vrus Dr. Solomon). Nas demais duas datas ele ir criar um outro arquivo batch (BOOTLOG.bat) que em essncia corrompe o arquivo C:\NETSTAT.COM alm de remover do registro os arquivos de proteo do pacote Anti-Vrus Dr. Solomon. Esse vrus dos primeiros - do tipo Macro - a atacar um alvo especfico, representado no caso por um dos mais famosos Anti-Vrus do Mercado: o Dr. Solomon Anti-virus Toolkit. Apelidos e Variantes: Nenhuma conhecida Vrus Wazzu.dg (Tipo: Vrus de Macro; Origem: Frana) Caractersticas / Sinais de Infeco / Problemas que Acarreta: Escrito na Frana, esse vrus de macro s ataca as verses do Word 97, em qualquer que seja a linguagem da verso do Word 97. Esse vrus possui diversos comentrios em seu corpo, entre os quais destacamos: VB_Description = "ScanProt macro to install protection macros, desinfect your NORMAL (Global) template and run the CleanAll macro." VB_ProcData.VB_Invoke_Func = TemplateProject.autoOpen.MAIN Quando a data do sistema for 14 de julho, o vrus ataca selecionando randmicamente uma entre 20 aes pr-definidas. Diversas so aes incuas, porm h 5% de chance do vrus inserir texto dentro do documento infectado. O texto : "Les employes les plus incompetents sont systematiquement promus aux postes ou ils se revelent le moins dagereux: l'encadrement." H tambm 25% de probabilidade de que uma de 5 trocas de letras programadas ocorram. As trocas possveis, cada uma com igual chance de ocorrer (5% para cada uma), so: | dans > dnas | le > el | les > lse | a > _ | ou > o | Um problema adicional, pelo menos por enquanto: esse vrus, pelo seu modo de ao, ainda no pode ser descoberto por tcnicas heursticas, aquelas utilizadas por quase todos os anti-vrus, que ficam monitorando atividades suspeitas. Assim sendo esse vrus s poder ser descoberto, ou aps um dos ataques citados ocorrer, ou utilizando um anti-vrus com assinatura de vrus bem atualizado. Alm disso altamente se deletar o arquivo NORMAL.DOT e restaurar uma cpia recente (mas no infectada) do mesmo desde seus backups. Apelidos e Variantes: Typo.A Vrus Wazzu:DU (Tipo: Vrus de Macro; Origem: Estados Unidos) Resumo Tcnico do Vrus: O vrus Wazzu:DE um vrus de macro derivado diretamente do vrus Wazzu. S ataca os DOCs da verso 97 do Word (no ataca portanto as verses anteriores 6.0). O vrus usa a macro AutoOpen para se replicar, que a nica ao executada por esse vrus. O vrus se proclama como uma proteo contra o Obviamente o vrus vrus NightShade, porm o Wazzu:DU no protege contra nenhuma variante do vrus NightShade. Enquanto este vrus use a macro AutoClose, o Wazzu:DU usa a AutoOpen. Assim sendo os dois vrus convivem harmoniosamente dentro do mesmo sistema infectado, sem causar nenhuma interferncia com a ao do outro.

11

Vrus W97M/Melissa (Tipo: Vrus de Macro; Origem: Estados Unidos) Resumo Tcnico do Vrus: O vrus W97/Melissa um vrus de macro que iniciou sua propagao no dia 25 de maro de 1999, atacando diversos micros atravs da Internet (como um arquivo .DOC attachado e-mails). Pela sua ao, de enviar 50 cpias de si mesmo pelo e-mail de cada usurio infectado, e poucas horas acabou causando problemas em servidores de e-mail, que caram por excesso de trfego. Esse vrus, embora disseminado primordialmente pela Internet, s contamina o Word 97, ou Word 2.000, pela ao do usurio que, ao receber um e-mail (que neste momento tem como subject: "IMPORTANT MESSAGE FROM " - onde o nome completo do usurio que foi contaminado) acaba lendo-o sem passar antes um bom e super-atualizado anti-vrus. Assim muito importante que no se rode documento Word, vindo como attachment num e-mail, sem antes tomar mnimas providncias - a primeira das quais atravs da desabilitao de execuo de macros do Word (Ferramentas * Opes - aba Geral: marque a opo "ATIVAR PROTEO CONTRA VRUS DE MACRO"). Ateno entretanto ao fato de que embora disseminado primordialmente pela Internet, o vrus Melissa tambm pode contaminar um micro pela cpia, e posterior leitura, de um documento contaminado com esse vrus. Em seguida o vrus W97/Melissa contamina o modelo global NORMAL.DOT, desta forma contaminando outros arquivos que forem criados aps a contaminao original, e permitindo mais uma rota de contaminao para outros usurios, mesmo que no usando e-mail. Finalmente o vrus checa a hora e a data, se o minuto da hora for o mesmo do nmero do dia do ms, o vrus insere no documento aberto a mensagem: "Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Games over. Im outta here". Note que se o usurio abrir um documento infectado, com as macros desabilitadas, e tentar olhar a lista de macros do documento, ele no ver nada, j que o cdigo viral realmente em VBA associado com o mtodo "document.open". A nica maneira de ver o cdigo viral usando o prprio editor do Visual Basic. Note tambm que em geral quem te enviar o e-mail contaminado ser um conhecido seu, que no necessariamente - est tentando te infectar, na verdade ele nem sabe que tais mensagens saram de sua mquina. Portanto - neste caso - nada de confiar em seus amigos mais chegados; a regra aqui clara: CONFIAR, DESCONFIANDO. Vrus W97M/Resume.A@mm (Tipo: Vrus de Macro; Origem: desconhecido) Resumo Tcnico do Vrus: O W97M/Resume.A@mm um vrus de Macro, que ataca arquivos do Word; possui um ataque destrutivo ao micro hospedeiro, que ele executa aps ter disseminado - atravs de e-mails (OUTLOOK) - cpias de si mesmo para todos os endereos de e-mails cadastrados em todos os Address Books do Outlook; esse ataque s ocorre quando o usurio fecha o documento Word que veio anexado ao e-mail contaminado, recebido pelo usurio. O arquivo anexado tem o nome de EXPLORER.DOC, e o e-mail vem com o ASSUNTO "Resume - Janet Simons". Ateno, se voc abrir esse arquivo, simplesmente desligue a mquina e s d boot com um disco de emergncia no contaminado - NO FECHE O WORD de jeito algum, pois embora o envio das mensagens j possa ter ocorrido, a destruio em seu micro ocorre ASSIM QUE VOC FECHAR O ARQUIVO.

Vrus Xenixos.A / .B (Tipo: Vrus de Macro; Origem: Alemanha) Caractersticas / Sinais de Infeco / Problemas que Acarreta:

12

O vrus Xenixos se propaga contaminando documentos do Word (verses 6 e 7) nas plataformas Windows e Macintosh. O vrus composto por 11 macros gravados nos arquivos .DOC (AutoExec, AutoOpen, Dateioeffnen, Dateispeichernunter, Dateispeichern, Drop, Dateibeenden, Dateidrucken, Dateidruckenstandard, Extramakro e Dummy). O vrus tambm contamina o modelo global NORMAL.DOT, onde aquelas macros se juntam mais 3 macros (AutoClose, AutoExit e AutoNew). Todas essas macros so encriptadas usando a caracterstica de somente execuo do Word, o que significa que o usurio no pode nem ver, nem editar, o cdigo do vrus. O vrus Xenixos se torna ativo ao se utilizar as AutoMacros ou as SystemMacros. Embora a disseminao s se efetive nas verses do Word em alemo, o vrus consegue executar seus ataques em qualquer verso do Word. O vrus altera a funcionalidade do menu Ferramentas * Macro, o que significa que no se deve tentar usar tal comando pois isso acaba disparando o cdigo viral. Ataques que o vrus pode executar: Se o usurio tentar usar tal comando do menu, o vrus apresenta uma caixa de mensagem com o ttulo "Fehler", e com a mensagem "Diese Option ist derzeit leider nicht verfuegbar..". Quando for salvar um documento, no dia 1 de maio, o vrus insere o texto "@echo j|format c: /u>nul" ao final do arquivo AUTOEXEC.BAT. Quando imprimindo um documento contaminado o vrus insere (1 vez a cada 2) o texto "Nemesis Corp." no final do documento. Quando salvando um documento h 1 chance em 4 de que o vrus coloque uma senha (no caso xenixos) na opo Arquivo * Salvar Como. Apelidos e Variantes: A variante Xenixos.B tem as mesmas caractersticas porm possui um processo de necriptao diferente Vrus XF/Paix.A (Tipo: Vrus de Macro; Origem: Frana) Resumo Tcnico do Vrus: O vrus XF/Paix.A se propaga atravs da contaminao da planilhas do Excel, nas verses 5, 7 e 97. O vrus efetivo tanto na plataforma Windows/PC, quanto na Macintosh. O vrus XF/Paix consiste da macro Auto_Open, numa planilha infectada. Esse vrus se torna ativo atravs do uso da Auto-macro. Embora esse vrus s se propague na verso francesa do Excel, seu ataque poder ocorrer em qualquer outra linguagem do Excel. Quando uma planilha infectada aberta, h duas chances, em 100, de que o texto "Enfin... La Paix" seja mostrado na Barra de Status do Excel. Alm disso o vrus salva um arquivo de nome XLSHEET.XLA no diretrio XLStart, e que contm o vrus. Esse arquivo deve ser deletado assim que descoberto. necessrio um procedimento especial de remoo, definido nos programas: "XFPAIX Special Cleanner" e "Utilitrio de Correo de Arquivos XLS", que estaro disponveis, em meu site de DOWNLOAD, partir da prxima semana (aguarde!).

Vrus ZMB.A:DE (Tipo: Vrus de Macro; Origem: Alemanha) Caractersticas / Sinais de Infeco / Problemas que Acarreta: Escrito na Alemanha, esse vrus de macro ataca as verses do Word 6 e 7, atacando em qualquer que seja a linguagem da verso do Word, embora s se propague se o Word for em alemo. O vrus composto por 4 macros das quais uma muda de nome quando est num documento infectado, ou no NORMAL.DOT: Nos arquivos infectados os nomes so: AutoOpen, DateiDrucken, DateiSpeichern e ExtrasMakro No NORMAL.DOT os nomes so: ZMB, DateiDrucken, DateiSpeichern e ExtrasMakro

13

O vrus se torna ativo pelo uso da Auto macro, sendo que o usurio no consegue ver a existncia das macros usando o menu Ferramentas*Macro, devido ao recurso que o vrus ZMB.A:DE utiliza, denominado de Macro de Somente Execuo, que uma das mais utilizadas caractersticas de "stealth" (invisibilidade) utilizadas pelos vrus de macro mais modernos. No dia 31 de maro o vrus deleta os arquivos CONFIG.SYS e AUTOEXEC.BAT, e em seguida mostra uma caixa de mensagem, com as seguintes caractersticas: Barra de Ttulo: "Osterhasenpolizei" Na caixa de texto: "Hallihallo...Ich bin der Osterhase und sage Dir, da man an Ostern keinen Computer benutzen soll !!" Na verso em alemo, se o usurio usar o menu Datei*Drucken o vrus faz um clculo e com1 chance em 3 ele altera 8 conjuntos de palavras, que um amigo que entende alemo me comentou ser bastante divertida, mas que vamos deixar barato e no mostrar aqui... Apelidos e Variantes: Desconhecidos Vrus Magnum.A (Tipo: Vrus de Macro; Origem: Alemanha) Caractersticas / Sinais de Infeco / Problemas que Acarreta: O vrus Magnum se propaga infectando documentos do Word, seja na verso 6, quanto na verso 7 (95). Ataca tanto os micros tipo PC quanto os tipo Macintosh. O vrus consiste de 3 macros: MAGNUM, TOOLSMACRO e EXTRASMAKRO, dentro de um documento infectado. O vrus se torna ativo atravs do uso de um atalho para a tecla de espao. Num sistema infectado o Magnum.A simula a funcionalidade do menu Ferramentas * Macro. Isto significa que no deve ser tentado executar tal comando, pois isso acabaria por executar o cdigo viral. Quando a tecla for pressionada, no dia indicado mais abaixo, o vrus inserir a seguinte mensagem num documento novo: "Schon mal im blasen Mondlicht mit dem Teufel getanzt? The Magnum Virus!"; alm disso o vrus mantm uma entrada no arquivo WIN.INI (DOSVIRUS | INSTALLED=) para determinar a primeira infeco. O vrus MAGNUM.A tem uma data de ataque, 13 de abril, em que um texto insertado num documento novo. Alm disso, quando da primeira infeco le cria um arquivo executvel (chamado HTC.COM) no diretrio raiz da partio C: , que contm um vrus DOS, vrus esse que executado aps o rebbot do micro. Verso .A: se tentado salvar um arquivo, no dia 1 de abril, o vrus deleta todos os subdiretrios no drive C: e o arquivo COMMAND.COM. le tenta nomear a partio C: para "C4_BY_KARL"; Verso .B: se tentado usar o comando Arquivo * Salvar, no dia 1 de abril, o vrus tenta deletar os arquivos C:\COMMAND.COM e C:\WINDOWS\WIN.COM . Variantes: Desconhecidas outras Variantes Vrus MDMA.A (Tipo: Vrus de Macro; Origem: Estados Unidos) Caractersticas / Sinais de Infeco / Problemas que Acarreta: Altera configuraes do Sistema Operacional, e pode deletar vrios arquivos do disco. Vrus MDMA.C (Tipo: Vrus de Macro; Origem: Estados Unidos)14

Caractersticas / Sinais de Infeco / Problemas que Acarreta: Altera configuraes do Sistema Operacional, incluindo o Registro do Windows 95, e pode deletar vrios arquivos do disco, sempre que for dia do ms for maior que 20. Vrus MDMA.W (Indonesian) (Tipo: Vrus de Macro; Origem: Desconhecida) Caractersticas / Sinais de Infeco / Problemas que Acarreta: Este vrus se propaga infectando arquivos do Word (verses 6.x e 7.x), tanto na plataforma Windows quanto na Macintosh. Esse vrus composto apenas de uma macro: AutoClose, que encontrada nos arquivos .DOC infectados. O vrus se torna ativo pelo uso da AutoMacro. Quando um arquivo for fechado no dia 16, e a linguagem do sistema estiver configurada para Indonsia, o vrus apresenta uma caixa de texto com o ttulo "Microsoft Word" e com o texto: "Should Indonesia withdraw troops from Timor? YES". A resposta DEVE SER "YES", se for respondido "NO" o vrus apaga todos os arquivos do diretrio raiz da partio C:. Apelidos e Variantes: outros vrus da famlia MDMA Vrus NJ-DLK1.I (Tipo: Vrus de Macro; Origem: Alemanha) Caractersticas / Sinais de Infeco / Problemas que Acarreta: Esse vrus de macro ataca as verses do Word 6 e Word 95, infectando os arquivos .DOC. O vrus NJDLK1.I se torna ativo atravs do uso de seus atalhos (shortcuts), que so: [Barra de Espao] e a tecla [I]. Existem diversos rros de cdigos, que causam o aparecimento de Caixas de Mensagem de rros, quando o vrus ativado. A data de ataque desse vrus o dia 3 de agosto, e o ataque disparado pelo pressionar da [Barra de Espao]. Tambm quando o usurio pressiona a tecla [I], aparece uma outra caixa de mensagem. Vrus NPAD.A (Tipo: Vrus de Macro; Origem: Indonsia) Caractersticas / Sinais de Infeco / Problemas que Acarreta: NPAD.A uma das inmeras variantes de uma grande famlia de vrus de macro. Esse vrus infecta os documentos das verses do Word 6.0 e 7.0, tanto nas plataformas PC quanto Macintosh. O vrus consiste numa nica macro, AUTOOPEN. O vrus encriptado atravs da tcnica de usar a caracterstica de "somente-execuo", o que significa que nenhum usurio consegue ver, nem mesmo editar, o seu cdigo. O vrus gerencia uma entrada no arquivo WIN.INI (do tipo: COMPATIBILITY|NPAD328=x, onde x o nmero de vezes que um documento foi aberto), que ao alcanar a marca de 23 ir fazer aparecer a mensagem: "D0EUNPAD94, v.2.2.21, (c) Maret, Bandung, Indonesia", que mostrada na barra de status do Word. O contador zerado, e novo ciclo de contagem se inicia. Apelidos e Variantes: WM.Jacarta

Vrus Nuclear.A; .B; .C; .D (Tipo: Vrus de Macro; Origem: * desconhecida *) Caractersticas / Sinais de Infeco / Problemas que Acarreta:

15

Hoje o vrus Nuclear se tornou uma pequena famlia de vrus. Dos 4 mais conhecidos as caractersticas de ao e data de ataque so similares, e onde no anotado acaracterstica comum todas as verses: O vrus se propaga ao infectar as verses Windows (6.x e 7.x) e Macintosh do Word. O vrus consiste de 9 macros: AutoOpen, AutoExec, FileSaveAs, FilePrint, FilePrintDefault, InsertPayload, Payload, DropSuriv e FileExit. Os vrus se tornam ativos ao serem executadas as macros de sistema e aos auto-macros. Como todas as macros so encriptadas, isso significa que o usurio fica impossibilitado de ver ou editar essas macros. Ataques dos vrus Nuclear: Todas as verses: Quando imprimindo um documento, e o valor dos segundos for maior que 55, os vrus inserem o texto abaixo, ao final do texto aberto: "And finally I would like to say: STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC"; Todas exceto a verso .D: Quando executar o Word, ou abrir um documento no dia 5 de abril, os vrus sobregravaro o arquivo C:\IO.SYS - nas plataformas Windows - e uma mensagem de erro ocorrer; Todas as verses: Os vrus tentam criar um arquivo de nome "Ph33R", que na realidade um outro vrus porm, devidos erros no cdigo viral, no acaba sendo executada tal ao, e gerado um rro: "WordBasic Err=125";

Vrus Ordo (Tipo: Vrus de Macro; Origem: *desconhecida*) Caractersticas / Sinais de Infeco / Problemas que Acarreta: Esse vrus de macro s ataca a verso do Word 95. O vrus Ordo infecta os arquivos .DOC, e coloca uma senha no Screen-Saver Marquee. Esse vrus se torna ativo pelo uso da macro AutoOpen. Quando se abre um arquivo no dia 2 de julho o vrus seta a senha do ScreenSaver Marquee (do Windows) para: "O.R.D.O. NJ [SLAM]" (sem as aspas) Vrus Outlaw (Tipo: Vrus de Macro; Origem: Alemanha) Caractersticas / Sinais de Infeco / Problemas que Acarreta: O vrus de macro Outlaw ataca os arquivos do Word nas verses de 32 bits (7.0 e 97), e ao se tentar editar um arquivo contaminado ele infecta o modelo global NORMAL.DOT. um dos poucos vrus de macro que usa a polimorfia, o que ele faz atravs da mudana dos nomes das trs macros que o constituem. Cada uma dessas macros tem o nome composto por 5 caracteres: o primeiro uma letra, e os demais so algarismos. O ataque se d a cada dia 20, onde ao se rodar o Word 7, ou o Word 97, o vrus cria um arquivo chamado de LAUGH.WAV que executado tocando uma gargalhada para o usurio. Alm disso, ele acaba inserindo o texto "You are infected with OUTLAW. A virus from Nightmare Joker" em fonte bem grande, e maximiza a janela do documento, se esta estiver no-maximizada. Por enquanto s a registros de ataques nos EUA e na Alemanha. Apelidos e Variantes:

Vrus Pelo.A (Tipo: Vrus de Macro; Origem: Brasil) Caractersticas / Sinais de Infeco / Problemas que Acarreta: O vrus de macro Pelo.A ataca os arquivos do Word nas verses 6.0 e 7.0 para o Windows, alm de atacar tambm as verses para o Macintosh. Este vrus, criado no Brasil no final de 1997, composto da macro AUTOOPEN, que se apresenta em todos os documentos infectados pelo vrus. O vrus se torna ativo pelo uso de AutoMacros.

16

O vrus se utiliza da tcnica mais comum de stealth no Word, pelo uso da caracterstica de "Somente Execuo" desse produto. Isto significa que o usurio no poder ver, ou editar, o cdigo do vrus. Quando um documento do Word, infectado pelo vrus Pelo.A, for aberto, o vrus escreve a frase: "Scion Graphic - (Brazil-1997) na Barra de Status do Word. No se conhece nenhum outro efeito desse vrus, pelo menos at o presente momento. Apelidos e Variantes: desconhecidas

Vrus Phardera (Tipo: Vrus de Macro; Origem: * desconhecida *) Caractersticas / Sinais de Infeco / Problemas que Acarreta: O vrus mostra as mensagens: "Dianita DSR [I Love Her..." (no 14 dia de cada ms) ou "Phardera was here!..." (no 31 dia de cada ms); em qualquer caso remove os tens Macro e Personalisar do Menu Ferramentas).

Vrus Plushad.A (Tipo: Vrus de Macro; Origem: * desconhecida *)

Caractersticas / Sinais de Infeco / Problemas que Acarreta: Plushad.A um vrus do tipo macro, que ataca as verses 6 e 7 do Word, tanto na plataforma PC, quanto na plataforma Macintosh. O vrus consiste de apenas uma nica macro: AUTOOPEN, num documento infectado. O vrus Plushad.A se torna ativo usando AutoMacros. Todas as macros so encriptadas usando a caracterstica de somente execuo do Word, o que evita editar ou simplesmente ver a presena da macro. Este vrus potencialmente muito destrutivo, embora em algumas datas especficas apenas: Quando abrindo um arquivo em 30 de setembro, ele seta uma senha para o arquivo; essa senha ******Hades, onde a parte ****** um nmero randmico calculado pelo vrus. Aps a senha ter sido gravada, o Word imediatamente fechado. Quando abrindo arquivos no mes de dezembro, e se o dia for qualquer um entre 5 e 31, o vrus poder (1 chance em 256) mostrar a frase "READING DISK! PLEASE BE PATIENT!!" na barra de estatus do Word, enquanto tenta deletar todos os arquivos do do disco rgido. O vrus ento seleciona e apaga todo o texto do documento, e insere em seu lugar exatos 9.666 caracteres - randmicamente gerados. Apelidos e Variantes: Xeram.1664

17

10 CONCLUSO Este material apenas faz referncia a vrus de macro, porm devemos ter cuidado pois estamos susceptveis a qualquer tipo de vrus nocivo ou no nocivo. Os vrus de macro por tendncia natural so vrus que geralmente no possuem um poder de destruio avassalador, porm pode fazer com que os usurios percam parte ou integralmente os seus arquivos. Devemos ter o mximo de cuidado quando da utilizao de arquivos oriundos de fontes no seguras, alis, devemos ter cuidado com arquivos de qualquer natureza. Devemos tambm manter um software antivrus sempre com sua base atualizada para proteo preventiva e ou remoo de vrus j encontrados em nossos documentos.

18

11 BIBLIOGRAFIA

http://orbita.starmedia.com/~hpvirus/virus-macro.html http://www.superdicas.com/virusalerta/bibtec/v_resume.htm http://www.superdicas.com/virusalerta/bibtec/bibtecvz.htm#W97RESUME http://209.78.29.252/virus/macro.htm http://www.icb.ufmg.br/~cominfo/ http://www.cert-rs.tche.br/docs_html/docs.html http://www.cert-rs.tche.br/

19