11 października 2001

Macro.Office97.Toraja - atakuje programy pakietu MS Office 97

Jest to makrowirus infekujący dokumenty programu Word 97 oraz arkusze programu Excel 97. W celu zachowania kompatybilności z aplikacjami pakietu MS Office 97, wirus wykorzystuje kompatybilność języka programowania VisualBasic.

Wirus infekuje system, dokumenty oraz arkusze w momencie otwierania plików (wykorzystanie makra AutoOpen). Podczas atakowania wirus korzysta z funkcji eksportowania oraz importowania udostępnianych przez Office 97. Szkodnik zapisuje (eksportuje) swój kod do pliku i odczytuje (importuje) go do infekowanego obiektu.

W momencie zamykania Worda (makro AutoExit) wirus próbuje przenieść swój kod do Excel'a. W tym celu szkodnik korzysta z funkcji DDE: uruchamia Excel'a w zminimalizowanym oknie i przekazuje mu dane oraz komendy konieczne do utworzenia w katalogu startowym Excel'a zainfekowanego pliku AutoRecover17.XLS. W podobny sposób przebiega infekowanie Word'a z poziomu Excel'a - tworzony plik ma w tym przypadku nazwę AutoRecover17.dat.

W kodzie szkodnika zapisana jest sygnatura autora:

Created: Toraja High Land 1998 by Marsel - Lina
Modified: July 1999