Alcuni dei macro virus più comuni

Word Macro/Concept, noto anche con i nomi: Word Prank Macro o WWW6 Macro, è un macro virus scritto nel linguaggio di Microsoft, Word Concept è costituito da varie macro Word: AAAZAO, AAAZFS, AutoOpen, FileSaveAS e PayLoad (si noti che AutoOpen e FileSaveAs sono nomi di macro legittime, ad eccezione del ruolo che svolgono in Concept). Il virus tenta di infettare il modello Word normal.dot. Se, quando infetta il file normal.dot, il virus trova le macro PayLoad o FileSaveAs, il virus presume che il computer sia già stato infettato e termina l' attacco. Dopo che il virus ha infettato il modello globale, infetta tutti i documenti che il programma salva con il comando Salva con nome. In questo modo, tramite i documenti prodotti, il virus si può diffondere in altri sistemi. Si può rilevare la presenza del virus Concept nel proprio sistema selezionando l' opzione: Strumenti | Macro di Word. Se l' elenco delle macro contiene una macro chiamata PayLoad, è probabile che il virus Concept abbia già infettato il sistema. Si può evitare che il virus infetti il sistema creando una macro PayLoad vuota. Tale macro sovrascrive l' implementazione della macro del virus Concept. In pratica il virus considera che il sistema sia già stato infettato e non tentera' di infettare il modello globale normal.dot. La creazione della macro PayLoad è tuttavia una soluzione solo provvisoria. In questo momento, qualcuno sta probabilmente modificando la macro PayLoad di Concept in modo da infettare il sistema indipendentemente dal fatto che il file normal.dot contenga già le macro PayLoad o FileSaveAs.

Word Macro/Atom è molto simile a Concept anche se esistono varie differenze: l' autore del virus Atom ha crittografato le macro del virus, il virus si replica anche all' apertura dei file oltre che al salvataggio e il virus ha due carichi paganti. Poiché l' autore ha crittografato le macro, il virus è molto più difficile da rilevare. Poiché il virus si replica sia all' apertura che alla chiusura, è anche più difficile impedire che si diffonda. I due "carichi virali" sono simili come concetto ma leggermente diversi come implementazione. L' attivazione del primo carico virale si verifica il 13 dicembre, data in cui il virus tenta di cancellare tutti i file contenuti nella directory corrente. La seconda attivazione si verifica quando un utente esegue il comando File | Salva con nome e i secondi dell'orologio interno del computer sono uguali a 13. A questo punto, il virus protegge tramite password il documento corrente rendendolo inaccessibile all'utente. Si può fermare la diffusione di Atom solo disabilitando l'esecuzione automatica delle macro o selezionando l'opzione Richiedi salvataggio modello Normal dalla finestra di dialogo Opzioni/Salva (selezionare l'opzione Strumenti | Opzioni).

 Word Macro/Bandung è costituito dalle sei macro seguenti: AutoExec, AutoOpen, FileSave, FileSaveAs, ToolsCustomize e ToolsMAcro. Se si apre un documento infettato con il virus Bandung (o si avvia Word da un modello normal.dot infettato) dopo le ore 11:00 del giorno 20 o successivo di ogni mese, il virus cancella tutti i file di tutte le sottodirectory del disco C, ad eccezione delle directory \WINDOWS, \WINWORD e \WINWORD6. Mentre cancella i file, il virus visualizza il messaggio "Reading menu...Please wait! ". Dopo la cancellazione, il virus crea il file c:\pesan.txt e vi scrive un messaggio. Se l' utente seleziona le opzioni Strumenti | Personalizza o Strumenti | Macro mentre visualizza un documento infetto, il virus visualizza il messaggio "Fail on step 29296" (in una finestra con il titolo Err@#*(c) e il simbolo di STOP). A questo punto il virus sostituisce tutti i caratteri "a" del documento con "#@" e quindi salva il documento. Word non potrà più eseguire queste opzioni in quanto richiamerà sempre le funzioni virali.

Il virus Word Macro/Colors è stato scoperto per la prima volta alla fine del 1995 quando qualcuno l' ha inviato al newsgroup Usenet. Talvolta è chiamato Rainbow e la sua origine è il Portogallo. Questo virus conserva nel file win.ini un contatore chiamato countersu=; tale contatore incrementa durante l' esecuzione delle macro. Dopo aver eseguito un determinato numero di macro, il virus modifica i colori di sistema, al prossimo riavvio, gli oggetti Windows avranno colori casuali. Questo macro virus infetta i documenti Word in modo analogo a quanto si è visto per le altre macro Word tranne per il fatto che non impiega macro ad esecuzione automatica. Il virus può diffondersi anche se si disattiva l' esecuzione automatica delle macro.

Word Macro/Nuclear è un macro virus molto comune. Come la maggior parte dei virus di macro, Nuclear tenta di infettare il modello globale di Word. A differenza di altri virus di macro, come Concept, Nuclear non annuncia il proprio arrivo con una finestra di dialogo. Al contrario rimane nascosto e infetta ogni documento creato con il comando File | Salva con nome, allegando al documento le proprie macro. Il virus nasconde la propria presenza disattivando l'opzione Richiedi salvataggio modello Normal (nella finestra di dialogo Opzioni richiamabile dal menu Strumenti) ogni volta che si chiude un documento. In questo modo, l' applicazione non chiederà più se si vogliono salvare le modifiche al file Normal e il virus passerà inosservato. Molti utenti fanno affidamento su questa opzione per proteggersi contro Concept. Lo stesso approccio non funziona con Nuclear. La macro PayLoad di Nuclear tenta di cancellare i file di sistema io.sys, msdos.sys e command.com ogni volta che la data è il 5 aprile. Infine il virus aggiunge alla fine di ogni documento stampato o inviato via fax negli ultimi cinque secondi di ciascun minuto la frase "And finally I would like to say: STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC". Poiché il virus aggiunge questo testo solo in fase di stampa, è difficile che l'utente possa notare tale modifica. Questa funzione viene gestita dalla macro InsertPayLoad. Per individuare questo virus si deve selezionare l' opzione Strumenti | Macro e controllare se l' elenco delle macro contiene macro dal nome sospetto come ad esempio InsertPayLoad.