Questo macro virus per MS Word 8 (Office '97),
contiene una macro in codice VBA (Visual Basic for Applications)
denominata Caligula. Il virus è stato scritto da un gruppo di
autori di virus, conosciuto con il nome di Codebreakers.
Una volta attivato attraverso l'apertura di un documento/modello
infettato dal Caligula, il virus infetta i documenti che vengono
chiusi, intercettando la macro automatica AutoClose.
Il virus disabilita la protezione anti-macro di MS Word, la
conferma per il salvataggio del modello globale NORMAL e quella
relativa alla conversione del formato delle macro.
A causa del metodo di infezione usato dal virus, è possibile
trovare il sorgente del Caligula nel file C:\io.vxd, che viene
creato durante la procedura usata per infettare i documenti e il
modello NORMAL.
Il virus controlla la presenza del valore
Caligula all'interno della chiave di Registro
HKEY_CURRENT_USER\Software\Microsoft\MS
Setup (ACME)\User Info
Se tale valore non esiste o è impostato a FALSE, il virus tenta
di stabilire se sul sistema è presente il file Secring.skr,
contenente le chiavi private create con il programma PGP (Pretty
Good Privacy). La ricerca di tale file è basta sulla consultazione
della chiave di Registro
HKEY_CLASSES_ROOT\PGP Encrypted
File\shell\open\command
dove il virus può ottenere il percorso della cartella in cui è
stato installato PGP.
In caso di successo, il virus copia il file Secring.srk in un
altro file chiamato secringXXXX.srk, dove ogni X è costituita da un
numero intero compreso tra 0 e 7, scelto in modo casuale. Dopo aver
creato tale file, il virus tenta di inviarlo sul sito FTP dei
Codebreakers, eseguendo il programma FTP.EXE presente in Windows. A
tale scopo, il virus crea il file C:\cdbrk.vxd, dove vengono
elencati una serie di comandi da passare al programma FTP.EXE.
Terminata la procedura di infezione, il codice
virale imposta a TRUE il valore Caligula della
chiave di Registro
HKEY_CURRENT_USER\Software\Microsoft\MS
Setup (ACME)\User Info
Altri effetti del
virus
Se il giorno del mese corrisponde a 31, il virus mostra sullo
schermo il seguente messaggio:
"WM97/Caligula (c) Opic [CodeBreakers 1998]
No cia, No nsa, No satellite, Could map our veins."
Il virus modifica anche il Riepilogo dei documenti,
inserendo le seguenti informazioni:
Autore |
Opic |
Titolo |
WM97/Caligula Infection |
Oggetto |
A Study In Espionage Enabled Viruses. |
Commenti |
The Best Security Is Knowing The Other Guy
Hasn't Got Any. |
Parole chiave |
Caligula, Opic,
CodeBreakers |
Il virus Caligula disabilita anche alcune voci di menu: Macro,
Modelli e Aggiunte, Editor di Visual Basic.
|