Concept (WordMacro/Concept)
Typ: macro vir
Varianty: o žádných nevím
OS: Windows 95, Windows 98, Windows 2000, Windows XP
Zákeřnost: 2 z 5
Popis: Concept byl prvním z makrovirů, které napadají dokumenty vytvořené programem Microsoft Word.
Virus využívá možností, které platforma Wordu nabízí, a tak je schopen se šířit pod více operačními systémy (Windows, Windows 95 a Macintosh). Virus může být snadno detekován a neobsahuje žádnou destrukční činnost.
Virus se vyskytl v USA, Velké Británii, Finsku, Francii, Německu a Kanadě, a také v České republice a na Slovensku. Virus se občas nazývá i WW6Macro a Prank Macro.
Přehled
Předpokládejme implicitní instalaci programu Word, včetně všech bezpečnostních děr...
Napadené dokumenty obsahují sadu maker, vytvořených v programovacím jazyce WordBasic, přičemž jedno z nich je automaticky spuštěno v okamžiku, kdy je soubor načten (díra č.1).
Virus napadá prostředí programu Word tak, že zkopíruje svá makra do globálního souboru, a tak se stává "rezidentním" na platformě Word. Jedno z maker viru je automaticky vyvoláno v okamžiku, kdy Word ukládá dokument (díra č.2), a tak je schopen virus napadnout neinfikované soubory, když jsou ukládány.
Nakonec, když je Word ukončen, ukládá automaticky všechny změny globálního prostředí (díra č.3). To znamená, že virus bude automaticky aktivován při příštím spuštění programu Word.
Detekce a odstranění
Concept Napadení virem Concept je velice nápadné. Při otevření napadeného dokumentu virus zobrazí dialogové okno s titulkem "Microsoft Word", obsahující nápis "1" a tlačítko OK. Toto samozřejmě nastane jen u viru Concept, a ne u ostatních makrovirů!
Concept -makra Vytvořte nový dokument, založený na normální šabloně, a pak zvolte Tools/Macro. Pokud uvidíte makra AAAZAO, AAAZFS, AutoOpen, PayLoad a FileSaveAs, pak jste pravděpodobně napaden virem Concept. Smažte všechna tato makra, a tím vyčistěte prostředí Wordu. Implicitně Word uloží takto vyčištěné prostředí automaticky při svém ukončení.
Pokud dokument obsahuje stejná makra, je napaden. Vyčistěte napadené soubory tak, jak již bylo dříve uvedeno. Vyčištěný dokument vždy uložte! Pokud jste natáhli, vyčistili a uložili napadený dokument, zbydou v globálním prostředí tři makra. I když se nadále nešíří, je lepší je také vymazat ještě před ukončením programu Word.
Je zajímavé, že makro "PayLoad" obsahuje následující text:
Sub MAIN
REM That's enough to prove my point
End Sub
Prevence
Manuál programu Word pro Windows říká, že pokud držíte stisknutou klávesu při dvojitém kliknutí na ikonu Wordu (jeho spuštění), pak Word bude spuštěn s vypnutou funkcí automatického spouštění maker "autoexecute". Toto by mělo zabránit aktivaci viru Concept, jež je na funkci automatických maker založena, bohužel to však při našich testech příliš nefungovalo. Spuštění programuWinWord z příkazového řádku s parametrem "WINWORD.EXE /m" má mít stejný efekt, ale je bohužel stejně nespolehlivé.
Klávesu je možno držet stisknutou i během otvírání dokumentu. Pak by měly být vyžazeny všechny automactiká makra v daném souboru, ale i toto není bohužel zcela funkční.
Specifickou ochranou proti viru Concept může být vytvoření makra s názvem "PayLoad" v globální šabloně. Pokud toto makro existuje, virus předpokládá, že je již v globální šabloně nakopírován a ukončí svoji činnost. Opět to však vůbec neplatí obecně, ale pouze proti viru Concept.
Je možno zkusit zabránit automatickému ukládání změn globální šablony. V menu Tools/Options/Save zapněte možnost "Prompt to save NORMAL.DOT". Bohužel, makra vyvolaná jinak (např. přímo, přes menu či zkratku klávesnice) mohou toto nastavení změnit zpět, ale každá ochrana proti viru se počítá.
Konečně je možno použít s výhodou i vlastnost Wordu, že spouští automaticky makra. Přes Tools/Macro vytvořte nové makro v šabloně NORMAL.DOT s názvem AutoExec. Toto makro může vypadat například takto:
Sub MAIN
DisableAutoMacros
MsgBox "AutoMacra vypnuta!", "Vždy ve střehu!", 64
End Sub
Toto makro bude spuštěno při každém spuštění programu Word (důležitá potencionální bezpečnostní díra!), a slouží k vypnutí vlastností, které používá Concept pro své šíření.
Tento virus se nešíří v české lokalizaci programu Microsoft Word.