Источник: InfoArt News Service Лаборатория Касперского предлагает "лекарство" от нового Excel-вируса  В начале февраля в Лабораторию Касперского московской компании "КАМИ" от 3 европейских дилеров поступила информация о появлении нового Excel-вируса.  Вирус нового типа размножается обычным для остальных Excel-вирусов способом: перехватывает системные события (активизация окна - OnWindow) и копирует свой код в каждую активизируемую таблицу. При первом открытии зараженного файла-таблицы вирус регистрирует его как подключаемый модуль (Add-In) с именем XLSHEET.XLA в том же каталоге или в C:\WINDOWS. При этом Excel автоматически создает копию документа с указанным выше именем и при последующих запусках загружает и активизирует его. Таким образом после заражения Excel-вирус постоянно активен и заражает все открываемые и создаваемые таблицы.  Все уже давно привыкли к тому, что макро-вирусы поражают документы Word и таблицы Excel. Все привыкли, что эти вирусы записывают свой код в область макро-модулей, и макро-вирусы можно посмотреть в меню Tools/Macro (если, конечно же, это меню не заблокировано вирусом - это делают некоторые стелс-макро-вирусы). Однако возможности Excel оказались гораздо шире - Excel-вирусы могут записывать свой код не только в область обычных макросов, но и в специальную область макросов формата Excel версии 4.0.  Несмотря на то, что в новых версиях Excel (начиная с версии 5) используются более совершенные технологии, возможность исполнения макросов старых версий Excel была оставлена для поддержания совместимости. По этой причине все макросы, написанные в формате Excel 4, вполне работоспособны во всех последующих версиях, несмотря на то, что Microsoft не рекомендует использовать их и не включает необходимую документацию в комплект поставки Excel.  Вероятнее всего, данный вирус имеет французское происхождение (это видно из имен процедур и выводимого вирусом текста), однако, он способен размножаься под любой национальной версией Excel.  Вирус состоит из пяти процедур: auto_ouvrir, activation_feuille, protect, !!!GO, auto_fermer. Все процедуры кроме !!!GO при активизации вызывают подпрограмму заражения. В зависимости от системного случайного счетчика (с вероятностью 2%) активизируется процедура !!!GO, которая закрывает все открытые таблицы и удаляет с экрана все активные элементы Excel (кнопки на ToolBar, меню, StatusBar) и заменяет на экране строку "Microsoft Excel" на "Enfin la paix ..." ("Наконец-то мир ...").  Обнаружить новый вирус обычными способами (просмотр макросов) невозможно, т.к. вирус объявляет свой модуль "крайне скрытым" (VeryHidden) - такое свойство модуля не может быть отменено из меню Excel. Для просмотра модуля вируса необходимо написать специальную программу на встроенном языке Excel (Visual Basic).  Таким образом, обычный пользователь не имеет средств для обнаружения вируса, а все известные антивирусные программы пока не в состоянии обнаруживать и лечить вирусы этого класса. По косвенным признакам вирус может быть онаружен следующим образом: в меню Tools/Add-Ins присутствует ссылка на файл XLSHEET. Зараженные файлы можно также определить по наличию в файле текстовых строк: Enfin la paix ... !!!GO  В течение нескольких дней ведущие мировые разработчики антивирусного ПО пытались предложить эффективное средство борьбы с данным вирусом, который уже начал поражать компьютерные сети Европы.  Первыми предложили свой метод определения вируса фирмы McAffe и Symantec. Но, к сожалению, предложенная ими защита системы от вируса оказалась далеко не полной, частичной. Для защиты системы от вируса предлагается каталоге C:\WINDOWS создать файл-пустышку с именем XLSHEET.XLA и установить у него атрибут read-only. После этого вирус будет не в состоянии создать в C:\WINDOWS свой Add-In. Если же вирус создаст свой файл в другом каталоге, то подобный файл-пустышку необходимо создать в том же каталоге.  Лаборатория Касперского быстрее и на сегодняшний день эффективнее всех справилась с задачей по определению, защите и лечению данного вируса. С 11 февраля в Лаборатории Касперского можно получить "лекарство" от данного Excel-вируса.

Copyright © 1998 "Компьютерное обозрение"

Дизайн - leidenwebdesign - http://leiden.irkutsk.ru