当第一次发现Word 感染该病毒时,会出现一个对话框,对话框中的文本只有一个“1”,按钮也只有一个“OK”键(在中文环境中为“确定”键)。病毒加载之后,就会修改【文件】菜单的【保存】命令所代表的宏,然后在每次保存文件的时候,就会将病毒保存到文件中。 受此病毒感染后,所编辑的文档只能按模板格式保存。Concept 病毒不会造成文件数据丢失。其症状是Word 的Normal 模板中会出现两个名字为AAAZAO 和AAAZFS 的宏命令,如图13-1 所示。另外还有一个PayLoad 宏,该宏只包含一句话“这足以证明我的观点(That’s enough to prove my point.)”,而不做其他事情。 虽然Concept 在这个宏里面没有包含任何内容,但是任何一个对宏有一定了解的人都可以修改这个宏,做一些可怕的事情,例如删除某些文件,修改磁盘上的一些关键参数或生成另外的一个更可怕的病毒。因此,虽然可以认为Concept 是良性病毒,但是必须注意,它随时都可以变成恶性病毒(这也是其他病毒发展的必然过程)。
13.2.2 Nuclear 病毒 该病毒会对文档打印功能造成破坏,并会破坏MS-DOS 系统文件。感染该病毒后,Word 的Normal 模板将出现以下宏命令:AutoExec、 AutoOpen、DropSuriv、FileExit、FilePrint、FilePrintDefault、 FileSaveAs、InsertPayLoad、PayLoad,如图13-2 所示。
Nuclear 宏病毒可能造成以下危害: (1)如果在任何时间的55~57 秒之间操作文件,病毒会在打印的文档上加入“STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC (停止法国在太平洋的所有核试验)”这句话。 (2)如果在下午5 点~6 点(系统时间)打开感染了Nuclear 病毒的文件,这台计算机将被PH33R 病毒感染,PH33R 病毒会产生一个 DOS 驻留程序。 (3)每年4 月5 日,Nuclear 病毒会将计算机中的IO.SYS 和 MSDOS.SYS 两个文件的长度置为零,并删除COMMOND.COM 文件,使 DOS 无法启动。
13.2.3 DMV 病毒 该病毒与Concept 病毒类似,使Word 中的【另存为】命令无效
13.2.4 宏病毒的一些变种 从第一个宏病毒Concept 诞生到1998 年底,Word 宏病毒已经出现了几千个变种,其中不少是恶性病毒,但是万变不离其宗,所有的病毒都需要在宏里面增加一个名字为“AutoLoad”的宏,下面介绍一些另外常见的宏病毒。 1. Alliance 感染.DOC 和.DOT 文件,仅在每月的2、7、11 和12 日感染和复制,并且屏幕显示一个信息窗,提示用户已感染病毒。 2. Boom 感染德文板的MS Word 软件的.DOC 和NORMAL.DOT 文件,每年的 3 月13 日13 时13 分13 秒发作,发作时胡乱更改菜单,显示政治笑话。 3. Clock:DE 感染德文板的MS Word 软件,在每月的1、2、13、21 和27 日,每个整点过后的5 分钟发作,发作时将文件打开和存取功能交替颠倒,并产生混乱。 4. Concept.F 基于Concept 病毒原型的宏病毒,病毒经过自身加密,在每月的 16 日发作,发作时分别用“,”、“e”和“not”替换文本中所有的“.”、“a”和“and”,并且屏幕显示一个信息窗,提示用户已感染病毒。 5. Concept.L 感染.DOC 和.DOT 文件,每月的17 日发作,发作时将删除“C:” 根目录下的有关文件,并且屏幕显示一个信息窗,提示用户已感染病毒。 6. Helper 感染.DOC 和.DOT 文件,在每月的10 日发作,发作时所有经过打开和创建操作后关闭的文件将被设置一个加密口令。 7. Kompu 该病毒是一个使用了加密、隐性技术的宏病毒。感染.DOC 和.DOT 文件,在每月的6 日和8 日发作。发作时在屏幕上显示一个信息窗,提示用户输入口令,用户必须输入“KOMM”以关闭此窗口,否则,病毒将通过打印机打印出混乱的信息。 8. MDMA.A 每月的1 日发作,可感染多种操作系统(Windows、Windows 95、 Macintosh 和Windows NT),在Windows 3.x 下发作时,会在 AUTOEXEC.BAT 文件中加入“deltree /Y C:”的恶意指令,后果严重。 9. MDMA.C 上述病毒的一个变种,每月的20 日后的任何一天都可能发作,可感染Windows、Windows 95 和Windows NT,设置密码口令,删除 C:\Windows\system\*.CPL 文件。 10. Nuclear.B 有三种可能的发作方式: (1)4 月5 日,删除Command.com 文件。 (2)17~18 日使用,释放一个DOS 的可执行文件病毒PH33R.1332。 (3)在某时某分的54~59 秒间打印文件时,将会加入下面一行文字:“STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC(停止法国在太平洋的所有核试验)”。 11. Phardera 发作时屏幕显示一个信息窗,干扰用户正常工作,同时从【工期】菜单中删除【宏】和【自定义】命令,阻碍用户手工杀毒。 12. Saver:DE 德文版宏病毒,4 月21 日发作。 13. Taiwan.Theatre 双字节宏病毒,每月的1 日发作,破坏系统硬盘数据。 14. TW-No.1(台湾1 号) 每月的13 日发作,发作时在屏幕上显示一个窗口,要求用户做4 位数连乘,若做错,将连续打开窗口,让用户继续做题,由于系统资源不断消耗,系统运行速度将越来越慢。
|