Vous êtes sur le site public du Cert-IST
Fichier ASD et macro virus sous Word

Date :27 Juillet 2005

Publication: Article

Fichier ASD et macro virus sous Word

 
Word, depuis sa version 2.0, dispose d’une option de récupération automatique de document :
lorsque cette option est sélectionnée (ce qui est le cas par défaut), Word sauvegarde à intervalles réguliers une copie du document, en l’état, dans un répertoire temporaire. En cas de plantage de l’application, il récupèrera automatiquement le document, tel qu’il était lors de la dernière sauvegarde.
 
Pour cela, lorsque Word démarre, il recherche les fichiers dont l’extension est " .asd " :

  • Dans le répertoire pointé par la variable d’environnement TEMP

  • Dans le répertoire défini depuis Word pour contenir les Fichiers de récupération automatique

Si un tel fichier existe, il sera ouvert automatiquement, sans tenir compte de la protection contre les macro-virus offerte par Word.
Cela ouvre donc la voie à des macro-virus, dont le nom comporte l’extension " .asd ", et placés dans un des deux répertoires mentionnés plus haut. Notamment, dans le cas où un tel fichier malicieux est placé dans TEMP, tout utilisateur est alors vulnérable au virus, simplement en lançant Word.
 
Pour ne pas exécuter automatiquement de macros quand ce type de document ou n’importe quel autre document Word est ouvert :

  • Dans Word, Outils -> Options -> Dossiers par défaut, visualiser le nom du répertoire contenant les " Fichiers de démarrage ".

  • Dans ce répertoire, créér et sauver sous le nom " noauto.dot " le document suivant :

Public Sub MAIN()
WordBasic.DisableAutoMacros 1
End Sub
 
Une option de protection complémentaire consiste à inclure, dans la liste des fichiers scannés par l'antivirus, les fichiers d'extension ASD.
Pour plus d’infos sur les techniques de contournement des macro-virus :
http://ourworld.compuserve.com/homepages/kenbechtel/free_en.htm