Это первый известный многоплатформенный вирус, который заражает файлы таких разных операционных сред, как DOS, Windows и Word for Windows (WinWord уже вполне можно считать операционной средой).

DOC-файлы вирус использует в качестве "курьера" для более быстрой доставки вирусного кода с компьютера на компьютер. Ведь вирусы, "живущие" в документах Word for Windows, распространяются в настоящее время с невероятной быстротой, ограниченной только скоростью передачи информации по Internet. На самом деле зараженные DOC-файлы не содержат вируса для DOC-файлов, но в них присутствует код, порождающий DOS-вирус, который в свою очередь и заражает потом новые DOC-файлы. Именно поэтому Anarchy.6093 так трудно обнаружить непосредственно в DOC-файлах. С другой стороны, как DOS-вирус, он заражает COM- и EXE-файлы, которые несут, в свою очередь, угрозу для DOC-файлов. При этом заражение DOC-файлов производится DOS-вирусом непосредственно из среды DOS, из-за чего оказываются неэффективными методы вакцинации среды Word for Windows, - и в результате он распространяется с огромной скоростью.

Чтобы справиться с таким коварным вирусом, "ДиалогНаука" выпустила дополнение вирусной базы, а затем появилась и новая версия DrWeb 3.22. При малейшем подозрении на наличие вируса файлы можно проверить в соответствующем режиме на Web-сервере АО "ДиалогНаука". Адрес сервера http://www.dials.ccas.ru.


Врага надо знать в лицо

Anarchy.6093
- резидентный полиморфный стелс-вирус, заражающий COM- и EXE-файлы, а также DOC-файлы для WinWord версий 6.0 и 7.0. При открытии DOC-файлов посредством функций операционной системы DOS вирус самостоятельно анализирует внутренний формат OLE2 документа, создает новую таблицу макрокоманд и дописывает в конец данного документа зашифрованную макрокоманду AUTOOPEN. Последняя является не вирусом, а дроппером (носителем), т. е. сама по себе не заражает документы, но содержит код, порождающий вирус. Точнее, при открытии такого инфицированного документа с помощью WinWord, вирусная макрокоманда создает на диске EXE-файл со случайным именем в формате Win NewExe (NE), записывает в него код вируса, запускает его, и как только он заканчивает свою работу - удаляет. Данный NewExe-файл при запуске производит поиск и заражение командного процессора (COMMAND.COM), программы WIN.COM и заканчивает свою работу. В результате при запуске DOS-сессии из среды Windows произойдет загрузка инфицированного командного процессора, и память DOS-сессии окажется инфицированной резидентной копией вируса, который продолжит заражение DOS COM- и EXE-файлов.

Если вирус будет активным в памяти до загрузки Windows или Windows 95, то любой документ при его открытии средствами Word for Windows инфицируется. Это оказалось возможным, так как Word for Windows при работе с документами использует файловые функции DOS. При заражении DOC-файла вирус использует некоторые недокументированные возможности или, проще говоря, "дыры", оставленные разработчиками Microsoft, в формате документов OLE2. В результате при активной вирусной макрокоманде AUTOOPEN обнаружить ее "наличие" в системе средства WinWord [TOOLS/MACRO] не позволяют.

Anarchy содержит некоторые ошибки в процедуре заражения OLE2 DOC-файлов, из-за чего некоторые небольшие DOC-файлы, вероятно, будут разрушены при заражении, вирусные макрокоманды в них могут оказаться нежизнеспособными, а также будут разрушены все DOC-файлы для MS Office 97. Кроме того, 8 и 30 апреля, а также 9 мая вирус уничтожает содержимое случайных секторов первого жесткого диска.

Поделитесь материалом с коллегами и друзьями