Как бороться с Word.Macro.Cap
by Admin
Эта статья уже в течении долгого времени размещена у меня
на сервере http://virus.komi.ru, но эпидемия CAP-а не стихает
и вопросы остаются, тем более что "горячо нами любимый" DrWEB
однажды прокололся на лечении этого виря и определенная часть
населения предпочитает бороться с макро вирями своими силами.
Все нижеописанное было собрано из конференции
rel.comp.virus осенью 1997 года. Особую признательность
выражаю Михаилу Цал.
Admin
Как бороться с Word.Macro.Cap
=============================
Описание
--------
Macro.Word.Cap
~~~~~~~~~~~~~~
Опасный,зашифрованный,стелс макро-вирус.Поражает документы
Word. Уничтожает все пользовательские макросы в NORMAL.DOT и в
открываемых после заражения шаблонах. Имеет непостоянный набор
вирусных макросов, различающихся в разных файлах,что создает
проблемы для некоторых антивирусных программ. Отключает пункт
меню "Tools/Macro (Сервис/Макросы)". По имеющимся данным
написан в Венесуэле.
==============================================================
Ответы на вопросы:
> А Word он не модифицирует? У меня из меню "СЕРВИС" пропали
>опции "Макрокоманда" и "Настройки". Это как-нибудь лечится?
>Или надо переустанавливать Word?
>С уважением
>Сергей Ануфриев
Переустанавливать Word ни в коем случае не надо.
Из меню пропадают опции просто потому, что активный вирус
скрывает свое присутствие. После удаления вируса из NORMAL.DOT
опции автоматически появляются.
Если в NORMAL.DOT не было каких-то специальных настроек,
его можно просто стереть - после первого запуска Word
автоматически создаст новый файл с настройками "по умолчанию".
Если были нужные настройки - файл можно переименовать и лечить
либо реально работающей программой для лечения файлов
(например, бесплатной программой f-macro версий 2.07 и 2.12 из
пакета f-prot), либо вручную. Для ручного лечения нужно
запустить Word c чистым NORMAL.DOT, закрыть все окна, выбрать
в меню "Файл" пункт "Шаблоны", нажать кнопку "Организатор" и
выбрать пункт "Макросы". После этого можно открывать в
появившемся окне зараженные файлы и просто удалять из них все
макросы.
Вылеченный таким образом NORMAL.DOT можно потом вернуть на
место. Даже если до заражения в NORMAL.DOT или других
зараженных шаблонах были полезные макросы, можно уже не
беспокоиться - вирус CAP удаляет из файла все макросы его
перед заражением.
Для реальной защиты от вируса CAP и ему подобных нужно
установить антивирус, который автоматически проверяет
документы в момент их открытия, и может в этот же момент их
обезвредить (удалить вирус или восстановить формат нормального
документа Word).
Такие возможности есть у ряда продуктов: F-Prot
Professional (наиболее профессионально работающий с
макро-вирусами), Dr. Solomon AVTK, McAffee Antivirus, Norton
Antivirus.
Но многие программы (не только Dr. Web) могут не
обнаружить вирус CAP в зараженном документе, так как в этом
вирусе может быть разное количество макросов в разных
документах.
==============================================================
Работать с Tools/Customize/Menu не имеет никакого смысла -
"Макрокоманды" исчезают только при работе с зараженным NORMAL.
DOT. То есть после успешного лечения все восстанавливается
автоматически.
"Убивать из файла вирь" вручную можно. Но очень осторожно
- ни в коем случае нельзя открывать зараженные файлы. Удалять
макросы можно только с помощью органайзера и все окна при этом
обязательно должны быть закрыты.
Если NAV действительно видит CAP во всех зараженных файлах
(вирус содержит непостоянный набор макросов), то достаточно
использовать VXD из состава NAV на всех рабочих станциях. При
этом NLM использовать бессмыслено - VXD и без этого проверяет
все документы даже при обычном копировании. Правда, при
включенной защите от вирусов скорость работы с компьютером
может несколько упасть - из-за специфики NAV. Но если
использовать копии NAV на станциях только как лечилку, то
реальной защиты просто не будет - NLM не контролирует
документы, которые открываются на дискетах или жестких дисках
рабочих станций.
Можно также использовать другие продукты с меньшим
количеством проблем (F-Prot Professional, Dr. Solomon AVTK,
CERBER LAN).
=========================================================
> Видно не сильно он поработал. Я нашел среди рабочих стан-
>ций такую, на которой WEB сказал, что все чисто, а при откры-
>тии любого документа тут же его заражает. Начал Word перестав-
>лять а он на этапе исталляции вешает тачку. Пришлось весь вынь
>переставлять. Да и на несетевой тачке такое было.
Это означает, что вирус мог быть обнаружен не во всех
зараженных файлах. Это связано с тем, что в этом вирусе может
быть разное количество макросов в разных документах.
Есть и другая возможная причина - во время лечения Word
обязательно должен быть закрыт - иначе NORMAL.DOT и другие
открытые в момент лечения файлы вылечить невозможно.
Но Word и тем более "вынь" ни в коем случае переставлять
не надо - достаточно стереть NORMAL.DOT.
Если в NORMAL.DOT не было каких-то специальных настроек,
его можно просто стереть - после первого запуска Word
автоматически создаст новый файл с настройками "по умолчанию".
Если были нужные настройки - файл можно переименовать и лечить
либо реально работающей программой для лечения файлов
(например, бесплатной программой f-macro версий 2.07 и 2.12 из
пакета f-prot), либо вручную. Для ручного лечения нужно
запустить Word c чистым NORMAL.DOT, закрыть все окна, выбрать
в меню "Файл" пункт "Шаблоны", нажать кнопку "Организатор" и
выбрать пункт "Макросы". После этого можно открывать в
появившемся окне зараженные файлы и просто удалять из них все
макросы. Вылеченный таким образом NORMAL.DOT можно потом
вернуть на место.
Даже если до заражения в NORMAL.DOT или других зараженных
шаблонах были полезные макросы, можно уже не беспокоиться -
вирус CAP удаляет из файла все макросы его перед заражением. =
=============================================================
Михаил Цал,
Руководитель проекта "Системы антивирусной защиты"
Ассоциация Защиты Информации "Конфидент" (C.-Петербург).
t.(812)-558-54-25, aft. 11.00 Moscow Time e-mail:
pptsal.mail.admiral.ru
|
