Anti Microsoft-Word Macro virus?
ReindeR Rustema
Ik heb een virusprobleem. Het Microsoft macro virus is effectief per
e-mail door mijn hele faculteit verspreid. En ik moet nu dit virus van
alle Macs verwijderen. Een stuk of dertig machines.
Disinfectant ruimt het macro-virus niet op, is dus geen optie. VirusScan
van McAfee lijkt het wel te doen maar maakt er een rommeltje van. Als
ik de evaluatie versie 2.1.8 installeer dan scant ie alles wel maar
vindt niets en cleant niets. Terwijl er duidelijk tientallen documenten
besmet zijn (hebben het template-icoon). Het helpt om een aparte
VirusScan folder die ik van een collega heb gekregen opnieuw in de
extensie-map te zetten. Soms. Ik ben gestopt met het installeren van
VirusScan omdat het de vervelende melding geeft dat het een onderdeel
van zichzelf niet kan scannen (wat idioot!). Dat brengt de gebruikers
helemaal in de war namelijk.
Bestaat er nou geen makkelijk programma dat afdoende en onzichtbaar
werkt?
ReindeR
Marc Zoutendijk
In article <1997120818...@a26.waag.org>,
r...@dds.nl (ReindeR Rustema) wrote:
>Ik heb een virusprobleem. Het Microsoft macro virus is effectief per
>e-mail door mijn hele faculteit verspreid. En ik moet nu dit virus van
>alle Macs verwijderen. Een stuk of dertig machines.
>
[...knip over VirusScan...]
>
>Bestaat er nou geen makkelijk programma dat afdoende en onzichtbaar
>werkt?
Symantec Antivirus for Macintosh (SAM).
Ik heb door een fout van mij dit programma twee keer in huis (het is een
commercieel pakket) omdat ik een update bestelde die ik al besteld had
(virus in mijn hoofd??).
Het gaat om versie 4.5.
Hoe dan ook, voor 25,- wil ik je het wel overdoen (+5,- postzegels).
Het zit allemaal nieuw (met handboek en verzegeld) in de oorsponkelijke
verpakking.
Mail me even prive met je gegevens indien belangstelling.
Marc. (ma...@xs4all.nl)
--
Marc Zoutendijk - http://www.xs4all.nl/~marcz
"Heeft u een mobiele telefoon?" - "Nee, ik ben zelf mobiel"
Barry Bravenboer
ReindeR Rustema <r...@dds.nl> wrote:
> Ik heb een virusprobleem. Het Microsoft macro virus is effectief per
> e-mail door mijn hele faculteit verspreid. En ik moet nu dit virus van
> alle Macs verwijderen. Een stuk of dertig machines.
Stuur mij dat mailtje (met aanhangsel) eens toe. Ik heb dit soort
verhalen altijd als broodje aap beschouwd. Nu wil ik wel eens een 'first
hand experience' meemaken.
Volgens mij is verspreiden van een virus per E-mail niet mogelijk.
althans niet door het E-mail bericht zelf. Een E-mail programma pakt
alleen berichten uit maar doet verder niks met de informatie in die
berichten. Het voert het niet uit.
Ik las ooit een opmerking dat er E-mail programma's zijn die wel
aanhangsels kunnen 'executen'. Zal dit nog eens gaan uitzoeken.
Een virus is meestal ook een stukje programma code. Bij de Mac zit dat
dan in een Resource. Is dat hier het geval?
Geef ook eens wat meer info over wat dit virus nu eigenlijk doet. Als ie
alleen als Macro in MS Word een beetje loopt huis te houden is het leed
nog wel te overzien.
Misschien is het altijd wel zinnig je af te vragen hoe je aan zo'n Macro
komt. Wie stuurt het op en waarom.
Het blijft wel steeds verbazingwekkend dat de produkten van Bill Gates
je de stuipen op het lijf jaagt. Zelfs een briefje typen kan je niet
meer veilig doen. Wordt het niet eens tijd voor vragen in de Kamer?
Barry
______Meet_Me_on_the_Web_____
<http://home.wxs.nl/~wyoming>
Sander Temme
In article (Dans l'article) <1997120818...@a26.waag.org>,
r...@dds.nl (ReindeR Rustema) wrote (écrivait) :
> Bestaat er nou geen makkelijk programma dat afdoende en onzichtbaar
> werkt?
SAM herkent tegenwoordig Word- en Excel Macro virussen.
S.
--
Sander de Sybersurfer San...@Chicago.xs4all.nl
Finger sct...@xs4all.nl for PGP Public Key.
Steve smiles at the startup sound. "You know what they say," he tells the crowd. "Every time you hear a startup chime, an angel just got his wings." -- David Pogue
Barry Bravenboer
Barry Bravenboer <wyo...@wxs.nl> wrote:
> Ik las ooit een opmerking dat er E-mail programma's zijn die wel
> aanhangsels kunnen 'executen'. Zal dit nog eens gaan uitzoeken.
Ik heb inderdaad iets gevonden. Ik kwam het tegen in een MIME FAQ
bestand. Het ging over het toekennen van MIME types.
Hier volgt het:
type: application/vnd.ms-tnef
see:
<ftp://ftp.isi.edu/in-notes/iana/assignments/media-types/application/vnd
.ms-tnef>
comment:
[ Carl S. Gutekunst <c...@clavinova.eng.sun.com> 14-Mar-1996 ]
TNEF (Transport Neutral Encapsulation Format) contains a
serialization of an entire Microsoft MAPI message. It is not an
encoding format like uuencode is.
[ Carl S. Gutekunst <c...@clavinova.eng.sun.com> 18-Jun-1996 ]
There is enough information in the Microsoft TNEF SDK
documentation to at least partially clone TNEF for use in
non-Microsoft mail clients.
[ Tony Hansen <han...@pegasus.att.com> 10-Mar-1997 ]
As "Inside MAPI" (De la Cruz & Thaler, 1996, Microsoft Press) puts
it (p. 255):
"Any system that is capable of sending a binary file or a text
message with one or more attachments can transmit MAPI messages
containing OLE objects, named properties, rich text, attachments,
and embedded messages. TNEF handles the sundry details of encoding
and decoding these objects, ..."
Of course, as Keith Moore points out, if the message contains an OLE
(Active/X) object with a virus, and you're using a tnef-capable
mailer, you're screwed if your tnef-capable mailer automatically
invokes the OLE object. But this is more of an argument against the
use of any tnef-capable mailer and the automatic invocation of
attachments and embedded objects.
The best solution all around is to convince your correspondents to
turn off sending tnef.
Wat hier weer opvalt?
Microsoft!!
Dus toch geen broodje aap.
" - An HTML version of the MIME FAQ is available at this URL:"
<http://www.cs.ruu.nl/wais/html/na-dir/mail/mime-faq/.html>
(Brought to you by the Department of Computer Science,
Utrecht University, The Netherlands.)
Barry
______Meet_Me_on_the_Web_____
<http://home.wxs.nl/~wyoming>
ReindeR Rustema
Barry Bravenboer <wyo...@wxs.nl> wrote:
> ReindeR Rustema <r...@dds.nl> wrote:
>
> > Ik heb een virusprobleem. Het Microsoft macro virus is effectief per
> > e-mail door mijn hele faculteit verspreid.
> Volgens mij is verspreiden van een virus per E-mail niet mogelijk.
Nee, inderdaad. Binnen deze organisatie heeft men de gewoonte om
Word-attachments per e-mail te versturen. Alle medewerkers krijgen
memo's en wat niet al als Word-attachment. Dat geloof je toch niet? En
toen ik mijn systeembeheerder uitlegde dat het tegen alle vormen van
etiquette indruist om *ongevraagd* mensen met attachments op te zadelen,
en dan ook nog zaken die prima copy-paste in een mailtje kunnen, en dan
ook nog besmet ook, vertelde hij me dat ze jaren op deze mogelijkheid
hebben zitten wachten om iedereen hetzelfde document te bezorgen. Heel
raar allemaal.
> Ik las ooit een opmerking dat er E-mail programma's zijn die wel
> aanhangsels kunnen 'executen'. Zal dit nog eens gaan uitzoeken.
Gelukkig doet Eudora niet dat soort gekkigheid.
> Een virus is meestal ook een stukje programma code. Bij de Mac zit dat
> dan in een Resource. Is dat hier het geval?
Ik zal een besmet document in http://www.xs4all.nl/~rrr/binaries/
plaatsen voor iedereen die het virus wil bestuderen.
Toch wel raar, als er een virus is voor de Mac dan wil iedereen het
gelijk bestuderen. Ik heb het nu al aan twee Mac-ers op verzoek
doorgegeven. "Voor bij de verzameling, ik heb er zo'n dertig" (en dat is
veel).
> Geef ook eens wat meer info over wat dit virus nu eigenlijk doet. Als ie
> alleen als Macro in MS Word een beetje loopt huis te houden is het leed
> nog wel te overzien.
Elk bestand wordt een Template. En de normal template wordt ook
veranderd. Als je hem wil bewerken moet je het weer bewaren onder een
andere naam. En dat is dan ook weer een template. Voor de argeloze
gebruiker bijzonder frustrerend. Goddank doe ik alles fijn met weepee
3.5.2 (save as HTML zelfs standaard als mogelijkheid, ideaal).
> Misschien is het altijd wel zinnig je af te vragen hoe je aan zo'n Macro
> komt. Wie stuurt het op en waarom.
Word documenten met onzin-memo's die besmet blijken.
Ik ga nu SAM proberen. Die bleek bij een Norton pakket in te zitten die
ik al in huis heb. Misschien is dat beter. Elders in deze draad werd SAM
aanbevolen.
ReindeR
Barry Bravenboer
Martijn Tipker <mti...@euronet.nl> wrote:
> > Stuur mij dat mailtje (met aanhangsel) eens toe. Ik heb dit soort
> > verhalen altijd als broodje aap beschouwd. Nu wil ik wel eens een 'first
> > hand experience' meemaken.
>
> Dat lijkt mij een niet zo slim idee.
Doe het toch maar. Kan ik mij in de materie verdiepen. Ik ben niet zo'n
angsthaas.
> > Zal dit nog eens gaan uitzoeken.
>
> Goed idee.
Zie verdere posting.
> Bezoek eerst Antivirus <http://www.antivirus.com/> , dan piep je
> binnenkort wel anders. Deze website is nogal op PC gericht, maar het kan
> je wel een goed idee geven wat er zo al mogelijk is en hoe complex de
> materie feitelijk is.
Ik piep niet zo gauw. Tuurlijk is die antivirus web site PC gericht. Er
zijn er inmiddels zo'n 8000 voor de PC tegenover een stuk of 50 bij de
Mac. Ik ontken ook niet dat het makkelijk is. Maar ik krijg er geen
toeval van. En durfal die ik ben, ik gebruik niet eens SAM meer.
De enige 2 keer dat ik met een Virus te maken had was in 1989. Bleek een
WDEF virus in de Desktop bestand van de FileServer te zitten en in een
MacPaint bestand. Het eerste legde het netwerk plat. Na opnieuw opbouwen
van het Bureaublad was het verdwenen.
> > Misschien is het altijd wel zinnig je af te vragen hoe je aan zo'n Macro
> > komt.
>
> Die kunnen _in_ de MS Word documenten zelf opgesloten zitten die je via je
> email als attachment binnen kunt krijgen.
>
> Dat is namelijk de plek waar ook de normale macro's onder Word worden
> bewaard. Word is een zogenaamd "cross-platform" programma (beschikbaar op
> Wintel, OS/2 en MacOS), vandaar dat je ze ook van een PC kunt oplopen
> indien je op een Mac werkt met Word.
Wordt mij hier uitgelegd wat Word is?
> > Wie stuurt het op en waarom.
>
> Welkom op Internet.
??? Ik schijn iets niet door te hebben. Is het niet? Waarom wordt ik
welkom geheten? Dit hele probleem komt bij mij over als mensen die
passief iets krijgen waar ze geen grip op hebben. En vol verbijstering
zien ze hun PC ten onder gaan.
Je krijgt een Email met een Word bestand met een virus. Daarom nogmaals,
Wie stuurt je dat en waarom. Ik heb nog nooit ongevraagd MS-Word
bestandjes ontvangen.
> Gebruik daarom geen MS Word, maar haar concurrent ClarisWorks of desnoods
> een bare-bones texteditor zoals BBEdit als het je alleen om de kale tekst
> gaat.
Ik gebruik MS Word 5.1. Prima tekstverwerker. En zonder Macro.
> Aan mij is Word niet besteedt, ook al vanwege het feit dat het uitgelopen
> is tot een bizar ingewikkeld programma. De ironie is wel dat MS Word en
> Exel indertijd (1992) door Microsoft juist speciaal voor het Mac OS is
Ben je pas in Nederland? MS-Word en Excel bestaan al sinds, Uhh?, 1989?
Eerder? Ik kwam er in 1989 mee in aanraking. WP voor de Mac was toen
niet om aan te zien. Net als de meeste andere merken. FullWrite was er
bijvoorbeeld zo een.
> ontwikkeld, het gevolg van een gouden deal tussen Gate$ en ... Job$. Een
> versie van Word kwam pas veel later uit voor de PC-wereld, waar men toen
> nog massaal omhoog zat met WordPerfect 4.2 en 5.x
Proef ik hier een 'verborgen agenda'? Een samenzwering tussen Gates en
Jobs? Kom nou toch. En je moet die PC gebruikers niet kwalijk nemen dat
ze niet hebben wat niet bestond. Als Columbus GPS had gehad was die
bootreis van 'm ook anders verlopen. Had ie niet gewoon een cruise
kunnen boeken?
> > Zelfs een briefje typen kan je niet meer veilig doen.
>
> Jazeker wel. Men moet alleen zo snugger zijn om crapware zoals MS Word en
> Windows per se te willen gebruiken, omdat "de buren" of dat andere bedrijf
> of instituut dat "ook" doen. Wie maakt jou wijs dat Word het ei van
> Columbus is?
Ik typ mijn brieven met MS Word (5.1). En je hebt me door. Ik ben
inderdaad niet zo snugger. Maar ik werk wel sinds 1989 met MS-Word. En
niemand heeft het mij wijs gemaakt. Het was toen een goed programma en
ik werk er nog steeds graag mee. En ik doe niet zoveel bedrijven en
buren na. Er zijn al zoveel Lemmingen. Bovendien ben ik veel te lui om
een nieuwe tekstverwerker onder de knie te krijgen. Ik ben het wel met
je eens dat de tegenwoordige MS programma nogal omvangrijk en daardoor
ondoorgrondelijk worden. Geen wonder dat er zoveel vraag is naar Help
Desk medewerkers bij bedrijven. Niemand van het administratieve
personeel kan er mee omgaan. Ik denk dat dan de bedrijven niet zo
snugger zijn.
> Gewoon niet bang zijn voor de schijn van incompatabiliteit: dat heeft soms
> zo z'n enorme zakelijke voordelen. En alles staat toch doorgaans in kale
> van het PDF met Adobe Acrobat -- dataveiligheid en cross-platform
> uitwisseling zijn daarbij verzekerd en je kunt de .pdf documenten direct
> online in de HTML-pagina's zetten.
Je drijft af en gaat raaskallen. Het typen van een documentje in een
tekstverwerker en die naar anderen sturen is nogal ver verwijderd van
iets publiceren op het Net met een pfd bestand.
Als je zelf zo snugger zou zijn haalde je geen MS Word bestanden van het
Net als je niet weet door wie die dingen zijn gemaakt of wat er in
staat.
Welkom op het Net. Went het al een beetje?
Barry
______Meet_Me_on_the_Web_____
<http://home.wxs.nl/~wyoming>
Nanno van Haaften
ReindeR Rustema wrote:
>
> Barry Bravenboer <wyo...@wxs.nl> wrote:
>
> > ReindeR Rustema <r...@dds.nl> wrote:
> >
> > > Ik heb een virusprobleem. Het Microsoft macro virus is effectief per
> > > e-mail door mijn hele faculteit verspreid.
>
> > Volgens mij is verspreiden van een virus per E-mail niet mogelijk.
>
> Nee, inderdaad. Binnen deze organisatie heeft men de gewoonte om
> Word-attachments per e-mail te versturen. Alle medewerkers krijgen
> memo's en wat niet al als Word-attachment. Dat geloof je toch niet? En
> toen ik mijn systeembeheerder uitlegde dat het tegen alle vormen van
> etiquette indruist om *ongevraagd* mensen met attachments op te zadelen,
> en dan ook nog zaken die prima copy-paste in een mailtje kunnen, en dan
> ook nog besmet ook, vertelde hij me dat ze jaren op deze mogelijkheid
> hebben zitten wachten om iedereen hetzelfde document te bezorgen. Heel
> raar allemaal.
>
> > Ik las ooit een opmerking dat er E-mail programma's zijn die wel
> > aanhangsels kunnen 'executen'. Zal dit nog eens gaan uitzoeken.
>
> Gelukkig doet Eudora niet dat soort gekkigheid.
>
> > Een virus is meestal ook een stukje programma code. Bij de Mac zit dat
> > dan in een Resource. Is dat hier het geval?
>
Er zijn op dit moment diverse M$ Word macro virussen in omloop.
De meesten zijn van het type 'CAP'. We gebruiken Mcafee al geruime tijd
zonder problemen (v 2.1.8).
Een macro virus doet niets zolang je het betreffende document niet in
Word
open maakt. Doe je dat wel, dan wordt tevens de 'normal' template ook
met
een 'macro-virus' besmet. Dit houdt dan tevens in dat alle nieuwe
documenten
die je aanmaakt eveneens 'besmet' zijn!
Meestal zijn het onschuldige zaken: een Word document kan alleeen als
template
geopend worden, en 'save as' geeft ook alleen maar de template optie.
Wanneer je handmatig scant, vergeet dus niet je normal template ook te
checken!
Wat kan helpen (in veel gevallen) is je normal template te protecten
(read only).
Indien je een attachment ontvangt met een dergelijk 'virus' doe je er
goed aan
de persoon die het verzonden heeft in kennis te stellen. Vaak is hij/zij
nog niet
bewust van dit probleem (heeft dan blijkbaar geen (recente) viruschecker
draaien).
--
Best regards,
____________________________________________________________________
Nanno van Haaften
Philips Semiconductors
System Manager
Marketing & Sales Communications
Building BE042b FAX: +31 40 2724825 (PVPN +60 24825)
P.O. Box 218 Voice: +31 40 2723251 (PVPN +60 23251)
5600 MD Eindhoven Seri: vhaaften@marcom
The Netherlands Internet: Nanno.va...@ehv.sc.philips.com
____________________________________________________________________
Private: vhaa...@iaehv.nl
pe1...@amsat.org
____________________________________________________________________
According to the Manual: 'Use a pentium PC with W95 or better'
So I bought a PowerPC Macintosh with MacOS!
ReindeR Rustema
Barry Bravenboer <wyo...@wxs.nl> wrote:
> Martijn Tipker <mti...@euronet.nl> wrote:
>
>
> > > Stuur mij dat mailtje (met aanhangsel) eens toe. Ik heb dit soort
> > > verhalen altijd als broodje aap beschouwd. Nu wil ik wel eens een 'first
> > > hand experience' meemaken.
> >
> > Dat lijkt mij een niet zo slim idee.
>
> Doe het toch maar. Kan ik mij in de materie verdiepen. Ik ben niet zo'n
> angsthaas.
Ik heb het virus downloadbaar gemaakt op
http://www.xs4all.nl/~rrr/binaries/wordmacrovirus.sit
have fun.
ReindeR
ReindeR Rustema
Het antwoord op het virusprobleem kwam wat mij betreft van Elbert
Woudstra van het onvolprezen Mac e-zine Macsonar. Ondanks de slechte
taalbeheersing van de jongens is het toch een efficientere manier om bij
te blijven dan de Evangelist. En de tips en problemen rubriek is altijd
best leerzaam.
Posted-Date: Tue, 9 Dec 1997 00:14:40 +0100 (MET)
Date: Tue, 09 Dec 1997 00:10:34 +0100
From: Elbert Woudstra <elbe...@pi.net>
Organization: MacSonar, http://www.freelist.ap.be/macsonar
Mime-Version: 1.0
To: maci...@pscw.uva.nl
Subject: Antwoord van MacSonar
Beste meneer Rustema,
>Ik heb een virusprobleem. Het Microsoft macro virus is effectief per
>e-mail door de hele faculteit verspreid. En ik moet nu dit virus van
alle
>Macs verwijderen. Een stuk of dertig machines.
>
>Disinfectant ruimt het macro-virus niet op, is dus geen optie.
VirusScan
>van McAfee lijkt het wel te doen maar maakt er een rommeltje van. Als
ik
>de evaluatie versie 2.1.8 installeer dan scant ie alles wel maar vindt
>niets en cleant niets. Terwijl er duidelijk tientallen documenten
besmet
>zijn (hebben het template-icoon). Het helpt om een aparte VirusScan
folder
>die ik van een collega heb gekregen opnieuw in de extensie-map te
zetten.
>Soms. Ik ben gestopt met het installeren van VirusScan omdat het de
>vervelende melding geeft dat het een onderdeel van zichzelf niet kan
>scannen (wat idioot!). Dat brengt de gebruikers helemaal in de war
>namelijk.
>
>Bestaat er nou geen makkelijk programma dat afdoende en onzichtbaar
werkt?
>
>ReindeR
Ja, er bestaat een makkelijkere weg om het virus te bestrijden. Ik ben
een op zoek gegaan naar een FAQ, aangezien het probleem algemeen bekend
is in de hoop er ook een anti-applicatie voor te vinden. En jawel, hoor!
Op de pagina
http://www.microsoft.com/msword/freestuff/mvtool/mvtool2.htm
wordt verteld wat het macro virus is. Microsoft geeft tevens de
oplossing: de Macro Virus Protection tool. Gelukkig heeft Microsoft ook
een Mac versie (81 K) van de Tool, u kunt het bestand ophalen met de
link
http://www.microsoft.com/word/freestuff/mvtool/mw1222.hqx
Groet,
Elbert Woudstra.
----------------------------------------------------------------------
Elbert Woudstra (mailto:elbe...@pi.net)
Editor MacSonar
http://freelist.ap.be/macsonar
Slenerbrink 85
7812 HB Emmen
----------------------------------------------------------------------
Wilt u elke week een *GRATIS* Macintosh e-zine in uw
Inbox krijgen? Stuur dan een e-mail naar
macnieuw...@freelist.ap.be met als body: subscribe
----------------------------------------------------------------------
MacSonar, het enige echte uitgebreide Macintosh e-zine in
de Benelux. We have a MacSonar contact!
----------------------------------------------------------------------
Dit is de Readme die hoort bij die Microsoft utility:
Microsoft Word Macro Virus Protection Tool Readme
October 9, 1995
Please read this entire document for important information about the
Macro Virus Protection tool, including problems you may encounter when
you run it.
Contents
Installing the Macro Virus Protection Tool 1
Removing the Macro Virus Protection Tool Macros 2
Common Questions About the Macro Virus Protection Tool 2
Common Questions About Macro Viruses 4
Common Questions About the Concept Virus 4
Common Questions About the Nuclear Virus 5
Common Questions About the DMV Virus 5
Integrating the Protection Macros with Existing User Macros 6
General Information 6
Specific Information 7
Integrating Your User Macros with FileOpen 7
Integrating Your User Macros with AutoExit 8
Installing the Macro Virus Protection Tool
The Macro Virus Protection tool includes two files:
Scanprot.dot The template that sets up the protection macros on your
computer
Readme.doc This file, which provides information about the tool and
its operation
To install the Macro Virus Protection tool, copy Scanprot.dot to your
Templates folder (for example, Word:Templates). In Word, click Open on
the File menu, locate and click Scanprot.dot, and click Open. The
protection tool (which is also called "ScanProt") will be automatically
installed and will prompt you for any additional input required.
This installation procedure is the same whether you run Word as a
single-user setup, as a workstation installation from the network, or
directly from the network. Because the setup procedure requires that you
change each user's Normal template on each local computer, there is no
shortcut method of installing the protection macros on more than one
computer at a time. The tool must be run on each computer that is to be
protected against macro viruses.
If for any reason you need to reinstall the Macro Virus Protection tool,
follow these steps:
1. In Word, open the list of macros by clicking Macro on the Tools
menu. In the Macros Available In list, click Normal.dot (Global
Template). If a macro called InstVer appears in the list, click it and
then click Delete. Click Close. (If InstVer does not appear on the list,
just click Close.)
2. On the File menu, click Open. Locate and click the Scanprot.dot
template and click Open.
3. The Warning alert will be displayed. Click No so that the protection
tool Setup will run.
The protection tool will be reinstalled completely.
Removing the Macro Virus Protection Tool Macros
To completely remove the Macro Virus Protection tool, click Macro on the
Tools menu. In the Macros Available In list, click Normal.dot (Global
Template). Click the AutoExit macro and click Delete. Also delete the
following macros: FileOpen, ShellOpen, and InstVer. This will remove
macro virus protection from your system.
Common Questions About the Macro Virus Protection Tool
Q: What is a macro virus?
A: A macro virus is a new type of virus that uses a program's own
macro programming language to distribute itself. Unlike previous
viruses, macro viruses do not infect programs; they infect documents.
For more information about macro viruses, see the "Common Questions
About Macro Viruses" section below.
Q: What is the Macro Virus Protection tool?
A: The Macro Virus Protection tool is a free tool that installs a
set of protective macros that detect suspicious Word files and alerts
you to the potential risk of opening files that contain macros. Upon
being alerted, you are given the choice of opening the file without its
macros, thereby ensuring that no viruses are transmitted. The tool also
contains an updated version of the scanning code for the Concept Virus
and can be used to scan your hard disk for Word files that contain the
Concept Virus. For more information about the Concept Virus, see the
"Common Questions About the Concept Virus" section below.
Q: How does this new tool work?
A: The Macro Virus Protection tool installs a set of protective
macros in your Normal template. If you open a document containing
macros, the protective macros are activated, and you are alerted to the
potential risk of opening files that contain macros. You are given the
choice of opening the file without its macros, opening the file as is,
or canceling the File Open operation. Opening the file without its
macros ensures that macro viruses are not transmitted and does not
affect the content of the document. Microsoft recommends that you open
the file without its macros unless you can verify that the macros
contained in the document will not cause damage.
Q: What does the Macro Virus Protection tool protect against?
A: The Macro Virus Protection tool is a general alerting mechanism
that alerts you to any macros found in a document. Although the tool
scans for the Concept Virus, its primary purpose is not to detect or
repair specific viruses, but to alert you to the fact that you are
opening a document that contains macros and that these macros could
contain viruses. You can then protect your computer against macro
viruses by opening the file without its macros.
Q: Does the Macro Virus Protection tool change my files?
A: Upon installation, the tool offers to scan for any files that
contain the Concept Virus. If any infected files are found, the tool
deletes the Concept Virus from the files and resaves the files. After
you install the tool, if you try to open a document that contains
macros, the protection alert is displayed. If you cancel the File Open
operation, or choose No in the Warning alert dialog box, nothing in the
file is changed, and the File Open operation continues as if the tool
were not installed. If you choose Yes and open the file without its
macros, Word creates a new document containing all of the original
document's content but none of its macros. You can choose to save this
new document with the same name as the original (thus overwriting the
original and permanently removing the macros), or you can close the new
document without saving it, to preserve the macros in the original.
Q: What is the difference between the Macro Virus Protection tool
and Scan831.doc?
A: Scan831.doc is a tool that Microsoft made available to customers
to scan and remove the Concept Virus from Word files. Since the release
of Scan831.doc, all of the major anti-virus vendors have either shipped
or committed to shipping tools that detect the Concept Virus. Although
the Macro Virus Protection tool includes an updated version of Scan831
scanning code, the protection tool's primary function is to alert you to
the existence of macros in your documents so you can open documents
without their macros.
Q: Are there any known limitations of the Macro Virus Protection
tool?
A: The protection tool works by trapping File Open operations.
There are some methods of opening files that the tool cannot trap. If
you open an infected file using one of these methods, your computer is
not protected. Microsoft recommends avoiding opening documents in the
following manner unless you are certain that the document is virus free.
The methods that bypass the protection tool include:
- Clicking an item on the Most Recently Used files list on the File menu
in Word.
- Dragging a document and dropping it on the Word program window.
- In Word for the Macintosh , double-clicking a Word file in the Finder.
- In Word for Windows 95 or Windows NT , double-clicking desktop
scraps.
- In Word version 6.0 for Windows or Windows NT, opening files using
Find File.
- In Word for the Macintosh, clicking a file on the Finder's Recent
Files menu.
Q: Which versions of Microsoft Word does the tool run with?
A: The tool works with Word 6.0x running under Windows 3.1, Windows
NT, Windows 95, or the Macintosh, and with Word for Windows 95 running
under Windows 95 or Windows NT.
Q: Where can I get the Macro Virus Protection tool?
A: You can download the tool from the following online services:
- The Microsoft Worldwide Web site at http://www.microsoft.com/msoffice
- MSN , The Microsoft Network, using go word: macrovirustool
- The Word forums on other online services such as CompuServe- and
America Online
You can also obtain the tool by calling Microsoft Product Support
Services at (206) 462-9673 for Word for Windows, or (206) 635-7200 for
Word for the Macintosh; or by sending an Internet e-mail message to
word...@microsoft.com.
Q: How will updates to the tool be distributed?
A: Any updates that become necessary will be distributed on the
following online services:
- The Microsoft World Wide Web site at http://www.microsoft.com/msoffice
- MSN, The Microsoft Network
- The Word forums on other online services such as CompuServe and
America Online
Updates can also be obtained by calling Microsoft Product Support
Services at (206) 462-9673 for Word for Windows, or (206) 635-7200 for
Word for the Macintosh; or by sending an Internet e-mail message to
word...@microsoft.com
Common Questions About Macro Viruses
Q: How many different macro viruses currently exist?
A: To date, the anti-virus community is aware of three macro
viruses: the Word Prank Macro, also know as the Concept Virus; the DMV
Virus; and the Nuclear Virus. Specific information about each of these
viruses is included in the three sections following.
Q: Does the boxed package of Word or Office that I buy in the store
contain macro viruses?
A: Macro viruses do not exist in any version of Word or Office that
you would buy in a store. You can get macro viruses only by opening a
Word document or template that already contains the macro virus.
Q: Can macro viruses be transferred with documents created with or
being read by Internet Assistant?
A: Internet Assistant and documents created or read by it cannot be
affected. Internet Assistant blocks the mechanism that distributes this
type of macro.
Q: Can macro viruses be transferred with documents created with or
being read by WordMail?
A: Word cannot send or receive this type of macro as a WordMail
message. However, like many e-mail editors, WordMail supports file
attachments. If an infected document or template is sent as a file
attachment, your computer can become infected when you open the
attachment.
Q: Can macro viruses be transferred by documents being read with
the Word Viewer?
A: Because the Microsoft Word Viewer cannot save documents, it is
unable to transmit macro viruses.
Common Questions About the Concept Virus
Q: What is the Concept Virus (also known as the Prank Macro)?
A: The Concept Virus is a macro virus that, once it installs
itself, lets you save documents only as templates. The virus does not
cause data loss or any other damage, but it will replicate and
distribute itself through Word documents. If the Concept Virus has
installed itself, the first time you open a document containing the
virus, you will see a dialog box that contains only the number "1" and
an "OK" button. You can also determine whether the virus is installed by
clicking the Macro command on the Tools menu-if the list contains the
following macros, the Concept Virus has been installed: AAAZAO and
AAAZFS.
Q: Does the Macro Virus Protection tool protect against the Concept
Virus?
A: Yes. Upon installation, the tool scans for the Concept Virus. If
it finds the Concept Virus, it deletes it and installs protective macros
to prevent the Concept Virus from installing in the future. The tool
does not, however, detect infected files that are embedded in other OLE
files or your e-mail file. Contact your anti-virus vendor for an updated
version of its scanning tools.
Common Questions About the Nuclear Virus
Q: What is the Nuclear Virus?
A: The Nuclear Virus is the only macro virus currently known to
cause damage to your printouts and MS-DOS system files. It uses the
following macro names:
AutoExec
AutoOpen
DropSuriv
FileExit
FilePrint
FilePrintDefault
FileSaveAs
InsertPayload
Payload
The Nuclear Virus may cause damage in the following situations:
- If you open an infected document and try to print it, the virus may
append the text "STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC!" to
your print job. This problem occurs if you send the print job to the
printer between the fifty-fifth second and sixtieth second of any minute
(according to your computer clock-for example, at 9:15:57).
- If you open an infected document between 5 P.M. and 6 P.M. (according
to your computer clock), the virus will attempt to infect your computer
with the PH33R Virus. The PH33R Virus is not damaging, however, because
it installs a terminate-and-stay-resident (TSR) program in an MS-DOS
session that ceases to exist when the macro finishes.
- On April 5 of any year, the virus zeros out your Io.sys and Msdos.sys
files and deletes the Command.com file from your root directory. MS-DOS
can no longer start, but because the crucial files are zeroed out, your
system won't notify you that MS-DOS is gone at startup.
Q: Does the Macro Virus Protection tool protect against the Nuclear
Virus?
A: The Macro Virus Protection tool alerts you any time you open a
document containing macros. Because the Nuclear Virus is spread through
macros, you are alerted when you try to open a document containing the
Nuclear Virus. You can protect yourself from the Nuclear Virus by
choosing to open the file without its macros.
Common Questions About the DMV Virus
Q: What is the DMV Virus?
A: This virus is very similar to the Concept Virus. Instead of
using AutoOpen to start replicating itself, the DMV Virus uses AutoClose
to install itself in your Normal (Global) template. Other than
replicating itself and changing the FileSaveAs command, it does not do
any harm.
Q: Does the Macro Virus Protection tool protect against the DMV
Virus?
A: The Macro Virus Protection tool alerts you any time you open a
document containing macros. Because the DMV Virus is spread through
macros, you are alerted when you try to open a document containing the
DMV Virus. You can protect yourself from the DMV Virus by choosing to
open the file without its macros.
Integrating the Protection Macros with Existing User Macros
To ensure strong anti-virus protection, the Macro Virus Protection tool
disables certain macros when the tool is installed. Because of the wide
variety of macros and the potential that your Word files could be
infected with a virus, it is not possible for the tool to automatically
detect "good" macros and merge them so that they coexist with the
protection tool.
This section describes how you can integrate user macros with the macros
that the Macro Virus Protection tool provides. This is a technical
process that requires knowledge of the WordBasic programming language.
If you do not have the technical skills required to complete this
integration, you have three options:
- Keep the Macro Virus Protection tool installed, and do without the
functionality that the conflicting user macros provide.
- Remove the Macro Virus Protection tool and reinstall your original
user macros, and do without the anti-virus protection functionality.
- Seek technical assistance for the problem from your internal help
desk, a knowledgeable WordBasic user, or the original author of the user
macros.
General Information
Q: What macros are installed when I run the Macro Virus Protection
tool, and what happens if macros with the same name already exist?
A: During setup, the Macro Virus Protection tool installs the
following macros to your Normal template: AutoExit, FileOpen, InstVer,
and ShellOpen. If an AutoExit or FileOpen macro already exists, Setup
renames the original macros by appending "User" to the end of the macro
name. For example, FileOpen becomes FileOpenUser.
Q: How can I tell if I need to do any macro integration work?
A: When ScanProt installs, it looks for FileOpen and AutoExit
macros in your Normal template. If it finds FileOpen, it displays the
message "Your FileOpen macro has been renamed to FileOpenUser." You will
see a similar message for AutoExit. If you want to know whether this
will happen before you install ScanProt, click the Macro command on the
Tools menu, click Normal.dot (Global Template) in the Macros Available
In list, and look through the names of the macros in the Macro Name
list. If FileOpen or AutoExit appears in the list, you will have some
macro integration to do. If you have already installed ScanProt and are
unsure whether it renamed FileOpen and AutoExit, look in the Macro Name
list for FileOpenUser and AutoExitUser; if those macros exist, ScanProt
renamed the original macros. In addition, if you have any custom
templates that have their own AutoExit or FileOpen macros, you have some
macro integration to do.
Q: Is it always possible for me to integrate my existing macros
with the protection macros?
A: Not always. If any of your macros are execute-only macros, you
will not be able to integrate the existing macros with the protection
macros. To determine if your macros are execute-only macros, follow
these steps:
1. On the Tools menu, click Macro. In the Macros Available In list,
click Normal.dot (Global Template).
2. Click each of the xxxxUser macros in turn.
3. As you click each macro, notice whether the Edit button becomes
unavailable (dimmed). If the Edit button becomes unavailable when you
click one of the xxxxUser macros, it means that that macro is an
execute-only macro, and it cannot be integrated with the protection
macro in its present state.
You have three options for execute-only macros. You can (1) contact the
author/vendor of the original macros and ask for editable versions of
the macros or for a new version of the execute-only macros that are
integrated with the protection tool; (2) install the protection tool
macros and forgo the features of the original macros; or (3) not install
(or remove) the Macro Virus Protection tool and do without the
anti-virus protection functionality.
Specific Information
If you've determined that the Macro Virus Protection tool has renamed at
least one of your user macros, and that none of the renamed user macros
are execute-only macros. You will have to follow different steps to
integrate your user macros with the protection macros, depending on
which user macros have been renamed. The two sets of steps are described
below.
Integrating Your User Macros with FileOpen
The FileOpen code that the Macro Virus Protection tool installs simply
makes a call into the ShellOpen macro. Therefore, to integrate your code
in the FileOpenUser macro, you must copy and paste the appropriate code
into the ShellOpen macro (instead of the FileOpen macro). Examine the
code in your FileOpenUser macro and determine which parts of the user
macro code are to run before the actual FileOpen operation and which
parts of the code should run after the FileOpen operation. Once you
determine which code goes before and which code goes after, copy and
paste the "before" code into the ShellOpen macro at the first point in
the ShellOpen code where the comment reads "INSERT YOUR CODE HERE." Then
copy and paste the "after" code at the second point in the ShellOpen
code where the comment reads "INSERT YOUR CODE HERE." Note that copying
your macro code into other points in the macro could cause the
protection macros to lose their protection capabilities. In many cases,
you will have to do additional coding or bug fixing to make the
integration seamless, but these are the general guidelines to follow.
Important: The process above will let you integrate with any custom
FileOpen macro you have in your Normal template. However, you also need
to integrate the custom code into your custom templates that have
FileOpen macros in them. Completing this procedure involves (1) copying
the integrated ShellOpen macro from the Normal template to each of your
custom templates that contains a FileOpen macro, (2) integrating the
existing FileOpen macro in the custom template with the ShellOpen macro
you just copied from the Normal template into the custom template, and
(3) copying over the original FileOpen macro in your custom template
with the integrated FileOpen macro from your Normal template. If you do
not complete these steps on a template that contains a FileOpen macro, a
macro virus could escape detection when you open a template that
contains the FileOpen macro or when you open a document attached to such
a template.
Integrating Your User Macros with AutoExit
To integrate with the AutoExit macro, you must examine the code in your
AutoExitUser macro and determine which parts of the code should run
before the actual FileExit operation and which parts of the code should
run after the FileExit operation. Once you determine which user macro
code goes before and which code goes after, copy the "before" code and
paste it into the AutoExit macro at the first point in the AutoExit code
where the comment reads "INSERT YOUR CODE HERE." Next, copy and paste
the "after" code at the second point in the AutoExit code where the
comment reads "INSERT YOUR CODE HERE." Note that copying your macro code
into other points in the macro could cause the protection macros to lose
their protection capabilities. In many cases you will have to do
additional coding or bug fixing to make the integration seamless, but
these are the general guidelines to follow.
Once you have completed all of your macro integration, you can delete
all of the xxxxUser macros in the Normal template, since they won't ever
get called.
Copyright w 1995 Microsoft Corporation. All Rights Reserved.
Microsoft, MS-DOS, and Windows are registered trademarks and MSN and
Windows NT are trademarks of Microsoft Corporation.
America Online is a registered trademark of America Online, Inc.
Macintosh is a registered trademark of Apple Computer, Inc.
CompuServe is a registered trademark of CompuServe, Inc.
Nanno van Haaften
ReindeR Rustema wrote:
>Ja, er bestaat een makkelijkere weg om het virus te bestrijden. Ik ben
>een op zoek gegaan naar een FAQ, aangezien het probleem algemeen bekend
>is in de hoop er ook een anti-applicatie voor te vinden. En jawel, hoor!
>Op de pagina....
Klopt, maar het werkt helaas maar ten dele:
(quote uit de readme file) Although the tool scans for the Concept
virus, its primary purpose is not to detect or repair specific
viruses...
Het werkt inderdaad voor enkele typen van het Concept virus. De virussen
van het 'CAP'-type, die momenteel meer voorkomt dan het Concept virus
(het tooltje werkt dus wel), worden niet 'gezien' door deze tool van
M$!!
Ook andere (momenteel een kleine 100!) macorvirussen worden niet door
deze software 'gezien'! (wel door Mcafee en SAM, mits je regelmatig
update).
Barry Bravenboer
Bedankt voor je bijdrage. Eindelijk uitgelegd wat zo'n macro nu
eigenlijk doet.
Zal het virusbestand direct ophalen en bestuderen. Dat Mac gebruikers
virussen opzoeken heeft waarschijnlijk te maken met hun nieuwsgierige en
onderzoekende aard. Iets waar ik een PC gebruiker nooit zo op betrapt
heb.
Als er iets afschuwelijks gebeurt op mijn machine zal ik dat uiteraard
in geuren en kleuren vertellen in deze rubriek. Kan iedereen lekker
gniffelen.
Hatsjoe! Gezondheid.
Barry
______Meet_Me_on_the_Web_____
<http://home.wxs.nl/~wyoming>
Sander Tekelenburg
In article <1997120917...@sdt0125.wxs.nl>, wyo...@wxs.nl (Barry
Bravenboer) wrote:
>ReindeR Rustema <r...@dds.nl> wrote:
>
>> Ik heb een virusprobleem. Het Microsoft macro virus is effectief per
>> e-mail door mijn hele faculteit verspreid. En ik moet nu dit virus van
>> alle Macs verwijderen. Een stuk of dertig machines.
<knip>
>Volgens mij is verspreiden van een virus per E-mail niet mogelijk.
>althans niet door het E-mail bericht zelf. Een E-mail programma pakt
>alleen berichten uit maar doet verder niks met de informatie in die
>berichten. Het voert het niet uit.
>
>Ik las ooit een opmerking dat er E-mail programma's zijn die wel
>aanhangsels kunnen 'executen'. Zal dit nog eens gaan uitzoeken.
Uit RISKS DIGEST 19.49 (te vinden in <news:comp.rsisks>)
------------------------------
Date: 28 Nov 1997 03:21:42 GMT
From: "braz" <br...@mnw.net>
Subject: Beware of HTML Mail
I received a spam mail today that was rather sinister. Many spams that I
receive request that you click on the hyperlink to go to their site. This
one, however, was much different. I am running IE4.0, and I simply
highlighted the new message in my mailbox, and clicked on the subject to
read it. It immediately downloaded and initialized a java applet that took
control of my browser, opened a session to their site as I sat in amazement.
I then quickly (out of fear) stopped the connection to that site, went back
to the mail message and viewed the source to see what was in it. Here is the
first few lines of the mail - I numbered the lines so they won't be
interpreted as HTML/E-mail here:
1. <html>
2. <head>
3. <title>webtour</title>
4. </head>
5. <body>
6. <applet
7. code=sitewalk.class
8. codebase=http://www.netinstrument.com/applet
9. name=sitewalk
10. width=2
11. height=2 >
12. <param name="page1" value="jpg, , 300, 200, 4000, ,
start-http://www.netinstrument.com/email2.htm, -, -, -, -, -, -, -, -, -, ">
(line 12 repeated for various links at their site)
I never really cared much about the spam I received, because it was really
non-intrusive for the most part. This, however, was scary. It took control
of my IE4 Browser, and forced me to their site. Who knows what the sites web
pages do if you let it run its course.
Net users, beware. The risks of simply receiving spam have just skyrocketed.
Turn off auto-preview mode, and look at the *source* of the message prior to
opening the mail item. I never cared about this before, but I really feel
violated in some weird electronic sense.
Tom Brazil <br...@mnw.net>
------------------------------
Alweer een argument geen browser voor mail te gebruiken.
--
Sander Tekelenburg
<mailto:tekelenb"AT"euronet.nl> (Sorry for making it hard)
Web Site <http://www.euronet.nl/%7Etekelenb/>
Opera for MacOS!
*Let's get ourselves an _adult_ browser*
Check out <http://www.operasoftware.com/alt_os.html>