Vírus de Texto (Macro)

Autor: Henrialbert Tavares

Vírus de texto é um novo tipo de vírus que usa linguagem de programação de macro para se propagar. Ao contrário dos vírus "tradicionais", este não infecta arquivos executáveis; infecta apenas documentos.

Hoje, os vírus de texto não constituem mais uma ameaça isolada, mas um risco significativo ao sistema. Agem em diversas plataformas tais como: Windows 3.1, WFW 3.11, Win 95, Windows NT e Macintosh, atuando geralmente em Microsoft Word 6.0 ou mais recente.

A vulnerabilidade dos sistemas a este tipo de vírus é muito alta, porque os usuários não estão acostumados a rastreá-los em seus documentos. Devemos nos lembrar de que os documentos (textos) trafegam muito mais do que programas (executáveis) em uma organização, passando de máquina em máquina e com diferentes pessoas escrevendo-os e/ou editando-os.

Os vírus de macro se espalham desde que haja uma ou mais macros auto-executáveis em um documento. Ao abrir ou fechar um documento o vírus pode ser ativado. Em seguida, copia a si mesmo e quaisquer outras macros necessárias para o arquivo de macro global "normal.dot". Após serem armazenados no "normal.dot" estão disponíveis em todos os documentos abertos. Neste ponto, o vírus tenta se propagar para outros documentos. Os efetivamente perigosos contêm uma rotina de destruição que será ativada quando um dado evento acontecer, por exemplo, a ocorrência de uma data.

São conhecidos cerca de 6 vírus de macro, sendo que a maioria infecta o Microsoft Word, e apenas um infecta o Excel. Dois destes são uma verdadeira ameaça para o ambiente. São eles: Concept (Prank), DMV(Word), DMV (Excel), Nuclear, FormatC e Hot.

Dmv (WORD) Macrovírus

É um simples exemplo de como tais vírus podem ser implementados. Não tenta se ocultar, não é prejudicial e é relativamente simples de ser removido.

Dmv (EXCEL) Macrovírus

Versão do DMV para Excel. Atua da mesma forma que a versão para Word. Usa a linguagem Visual Basic do Excel.

Concept Macrovírus

Este é um vírus semelhante ao DMV, sendo mais uma demonstração de como um vírus de texto pode ser criado.

Nuclear Macrovírus

Um documento infectado com o Nuclear contém nove macros. A impressão de um documento infectado causa a impressão do seguinte texto no início da página impressa:

"And finally I would like to say:"
"STOP ALL FRENCH NUCLEAR
TESTING IN THE PACIFIC!"

Após 5 de abril, ele tenta apagar seus arquivos de sistema, mas falha por um erro no código. Tenta, ainda, infectar o sistema com o vírus binário Suriv, mas também falha.

Colors Macrovírus

Um documento infectado contém oito macros. Altera configurações de itens de menu a fim de dificultar a sua remoção. Após 300 acessos, Colors ativa e aleatoriamente troca as cores do sistema, armazenadas no arquivo win.ini, tornando estranha a aparência do sistema.

FormatC Macrovírus

Consiste de uma única macro chamada AutoOpen. Abrir um documento infectado causa a execução desta macro que copia a si própria para o arquivo de macro global. Se o vírus é ativado, tenta formatar o drive C:.

Wordmacro/Hot

É um vírus destrutivo. Também adiciona macros a documentos e ao arquivo "normal.dot". Novos documentos são infectados quando são salvos. Cerca de 14 dias após a infecção, o vírus apaga o conteúdo de quaisquer documentos abertos.

As novas versões dos vírus de macro não são detectados pelo detector original da Microsoft que detecta apenas o Concept. Um novo programa de proteção foi disponibilizado pela Microsoft e a maioria dos fornecedores de antivírus está adicionando detectores de vírus de macro a seus programas.

Informações adicionais podem ser encontradas em:

http://www.microsoft.com/support/products/office/macrovirus/Page6.htm
http://www.lbl.gov/ICSD/Security/MS-Word-Virus.html
http://ciac.llnl.gov/ciac/bulletins/g-10a.shtml