Jdi na obsah Jdi na menu
 

Green Stripe (AmiProMacro/Green Stripe)

 

 

Typ: macro vir
Varianty: více variant
OS: Windows 95, Windows 98, Windows 2000, Windows XP
Zákeřnost: 2 z 5

Popis: Green Stripe je makrovirus, který se objevil v lednu 1996.

 Tento virus napadá dokumenty vytvořené programem Ami Pro (*.SAM), a to tak, že pro každý .SAM soubor vytváří odpovídající .SMM soubor se stejným jménem a vytvoří link mezi oběma soubory tak, že otevření souboru .SAM spustí makra uložená v souboru .SMM. Soubory .SMM jsou označeny jako skryté (hidden) a nejsou viditelné při použití příkazu DIR - DIR /AH však pracuje.

 Při otevření napadeného dokumentu získá virus koontrolu a okamžitě napadne všechny *.SAM soubory v právě platném adresáři (což je vždy implicitní adresář DOCS programu Ami Pro (...AMIPRODOCS). Tento proces je velice nápadný, protože všechny dokumenty jsou otevřeny a následně zavřeny jeden po druhém a přitom se objevují na obrazovce.

 Virus poté monitoruje příkazy File/Save a File/Save As. Při použití příkazu On File/Save As virus napadne ukládaný soubor. A to je i jediná cesta, jak se virus může  dostat na jiný počítač. Protože pro správné fungování viru jsou nutné oba soubory .SAM i .SMM a protože .SAM soubor obsahuje absolutní cestu na příslušný .SMM soubor, virus neběží, pokud je zkopírován buď soubor .SAM či oba .SAM i .SMM na disketu a pak otevře .SAM dokument na jiném počítač. Ale pokud je dokument uložen pomocí File/Save As, jsou zkopírovány oba soubory .SAM i .SMM a link je příslušně změněn.

 File/Save byl zamýšlen zejména pro vyvolání manipulační činnosti. Při vyvolání File/Save se virus pokusí zaměnit všechny "its" v dokumentu za "it's". Na rozdíl od virů pro Word či Excel, AmiPro virus se těžko bude šířit pomocí elektronické pošty. Je to už kvůli již zmíněnému faktu, že AmiPro ukládá makra do zvláštního souboru a ne do toho samého, ve kterém jsou data. Přitom e­mailem se většinou posílá pouze soubor .SAM.

Jméno viru "Green Stripe" je odvozeno z samotného viru. Jeho hlavní procedura se jmenuje Green_Stripe_virus.

 Detekce je jednoduchá zejména kvůli následujícím věcem:

 Za prvé, otevření infikovaného dokumentu je velice nápadné - obrazovka bliká tak, jak jsou jednotlivé dokumenty otvírány a zavírány.

 Za druhé, po otevření napadeného dokumentu je možno vyvolat Tools/Macros/Edit a zjistit, zda má dokument přiřazeno odpovídající jméno souboru s makry (stejné jméno, rozšíření .SMM) pro spuštění při otevření.

 

Komentáře

Přidat komentář

Přehled komentářů

Zatím nebyl vložen žádný komentář