home *** CD-ROM | disk | FTP | other *** search
/ PC Welt 1996 Counselor / COMPUSERVE.ISO / mailbox / antivire / itw140 / macro.itw < prev    next >
Encoding:
PGP Message  |  1996-06-15  |  46.4 KB  |  1,097 lines
  1. -----BEGIN PGP SIGNED MESSAGE-----
  2.  
  3.  
  4. [ WordMacro.Atom ]───────────────────────────────────────────────────────────
  5.  
  6. ■ VIRUSNAME:      Atom
  7. ■ VIRUSTYP:       Microsoft Word Makro-Virus
  8. ■ INFIZIERT:      Microsoft Word Dokumente und Vorlagen
  9. ■ GROESSE:        1029 Bytes (4 Makros)
  10. ■ URSPRUNG:       Ukraine
  11. ■ SYMPTOME:       Dateien innerhalb eines Verzeichnis werden gelöscht,
  12. ■                 Dokumente sind passwortgeschützt
  13. ■ REINIGUNG:      Viren-Makros aus infizierten Dokumenten löschen
  14. ■                 (Atom, AutoOpen, FileOpen, FileSaveAs)
  15.  
  16. <Atom> ist ein gewöhnlicher Virus, der aus 4 verschlüsselten Makros besteht:
  17.  
  18. "Atom"
  19. "AutoOpen"
  20. "FileOpen"
  21. "FileSaveAs"
  22.  
  23. Beim Öffnen einer infizierten Datei wird die globale Makrovorlage infiziert
  24. falls das Makro "Atom" sich nicht bereits in der Makroliste befindet. Die
  25. Makros werden mit dem Befehl MakroKopieren übertragen und danach die
  26. Schadensfunktion aufgerufen.
  27.  
  28. <Atom> infiziert Dokumente beim Öffnen oder Speichern (Datei/Speichern
  29. unter), wobei wie bei Makro-Viren üblich das Dokument intern in eine Vorlage
  30. umgewandelt wird. Beim Aufruf des Virenmakros "FileSaveAs" wird außerdem ge-
  31. prüft ob die aktuelle Systemuhrzeit ein Sekundenwert von 13 hat. Ist das der
  32. Fall setzt der Virus für das zu speicherende Dokument das Passwort "ATOM#1".
  33.  
  34. Die Schadensroutine, die sich im Makro "Atom" befindet sollte eigentlich nur
  35. am 13.12. jeden Jahres aktiviert werden. Durch einen Programmierfehler wird
  36. sie jedoch am jeden 13. im Monat ausgelöst. Der Virus löscht alle Dateien
  37. im aktuellen Verzeichnis.
  38.  
  39. Da <Atom> englische Makronamen verwendet funktioniert er nicht mit der
  40. deutschen Version von Word.
  41.  
  42.  
  43. Analyse 5.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)
  44. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  45.  
  46.  
  47. [ WordMacro.Boom ]───────────────────────────────────────────────────────────
  48.  
  49. ■ VIRUSNAME:      Boom, Boombastic
  50. ■ VIRUSTYP:       Microsoft Word Makro-Virus
  51. ■ INFIZIERT:      Microsoft Word Dokumente und Vorlagen
  52. ■ SYMPTOME:       Schadensfunktion wird um 13:13:13 Uhr am jeden 13. des
  53. ■                 Monats ab Februar 1996 ausgelöst:
  54. ■                 Die Menüstruktur von Word wird umbenannt, eine neue
  55. ■                 NORMAL.DOT-Textvorlage mit Text erzeugt und ausgedruckt.
  56. ■ REINIGUNG:      Viren-Makros aus infizierten Dokumenten löschen
  57. ■                 (AutoOpen, AutoExec, DateiSpeichernUnter, System)
  58.  
  59. Neben <Xenixos> ist <Boom> bereits der zweite Makro-Virus, der speziell für
  60. die deutsche Version von Microsoft Word geschrieben wurde. <Boom> unter-
  61. scheidet sich in einigen Details von den anderen Makro-Viren und ist keine
  62. Variante eines bekannten Makro-Virus. <Boom> funktioniert nicht mit anders-
  63. sprachigen Versionen von Word (bzw. wird nur NORMAL.DOT infiziert).
  64.  
  65. Der Virus besteht aus vier Makros, die verschlüsselt (Execute-Only)
  66. vorliegen:
  67.  
  68. "AutoOpen"
  69. "AutoExec"
  70. "DateiSpeichernUnter"
  71. "System"
  72.  
  73. Im Makro "AutoOpen" ist die Infektionssroutine für die globale Makro-Vorlage
  74. NORMAL.DOT vorhanden. Wird also ein infiziertes Dokument geöffnet wird sofort
  75. NORMAL.DOT verseucht. Dabei verwendet <Boom> nicht wie bisher üblich den
  76. WordBasic-Befehl "KopiereMakro" sondern "Organisiere.Kopiere". Vor dem Über-
  77. tragen der Makros wird die Schnellspeicher-Option eingeschaltet. Desweiteren
  78. umgeht der Virus die Abfrage von Word, ob eine modifizierte NORMAL.DOT
  79. wirklich gesichert werden soll.
  80.  
  81. Dokumente werden beim Zugriff über den Befehl "DateiSpeichernUnter"
  82. infiziert. Dabei wird das Dokument intern in eine Makro-Vorlage umgewandelt.
  83. Vorlagen, die das Makro "System" enthalten gelten für <Boom> als bereits
  84. infiziert. Auch hier wird wieder die Schnellspeicher-Option eingeschaltet
  85. und die NORMAL.DOT-Abfrage umgangen.
  86.  
  87. Das Makro "AutoExec", das bei jedem Start von Word automatisch aufgerufen
  88. wird, enthält eine Zeitabfrage die beim Erreichen der Uhrzeit 13:13:13 (jeden
  89. 13. ab Februar 1996) das Makro "System" aufruft. "System" enhält dann die
  90. eigentliche Schadensfunktion. Das Makro "AutoExec" wird ebenfalls von dem
  91. Virus-Makros "AutoOpen" und "DateiSpeichernUnter" beim Öffnen und Speichern
  92. von Dokumenten aufgerufen.
  93.  
  94. Als Schadensfunktion benennt der Virus die Menüstruktur von Word um:
  95.  
  96. Datei       ->   Mr.Boombastic
  97. Bearbeiten  ->   and
  98. Ansicht     ->   Sir WIXALOT
  99. Einfügen    ->   are
  100. Format      ->   watching
  101. Extras      ->   you
  102. Tabelle     ->   !
  103. Fenster     ->   !
  104. Hilfe       ->   !
  105.  
  106. Zwischen den einzelnen Umbenennungsbefehlen führt der Virus Pausen aus und
  107. erzeugt jeweils einen Ton über den PC-Lautsprecher. Nachdem die Menünamen
  108. umbenannt wurden erzeugt <Boom> eine neue globale Text-Vorlage NORMAL.DOT und
  109. fügt dort die folgenden Texte ein:
  110.  
  111. "                Greetings from Mr. Boombastic and Sir WIXALOT !!!          "
  112.  
  113. "                         Oskar L., wir kriegen dich !!!                    "
  114.  
  115. " Dies ist eine Initiative des Institutes zur Vermeidung und Verbreitung von"
  116. "  Peinlichkeiten, durch in der Öffentlichkeit stehende Personen, unter der "
  117. "                         Schirmherrschaft von Rudi S. !                    "
  118.  
  119. Dieser Text wird vom Virus ausgedruckt.
  120.  
  121. <Boom> enthält noch weitere Texte, z.B.:
  122.  
  123. "                       Mr. Boombastic and Sir WIXALOT !!!                  "
  124.  
  125. Einige weitere Schadensfunktionen wurden durch REM's in Kommentare umge-
  126. wandelt und damit deaktiviert. Darin sollten z.B. die Dateien AUTOEXEC.BAT,
  127. CONFIG.SYS und COMMAND.COM umbenannt werden.
  128.  
  129.  
  130.              Analyse 25.04.1996 (c) Stefan Kurtzhals (VHM) für
  131.              ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  132.                     Computer Virus Research Lab Germany
  133.                     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  134.  
  135.  
  136. [ WordMacro.Colors ]─────────────────────────────────────────────────────────
  137.  
  138. ■ VIRUSNAME:      Colors
  139. ■ VIRUSTYP:       Microsoft Word Makro-Virus
  140. ■ INFIZIERT:      Microsoft Word Dokumente und Vorlagen
  141. ■ GROESSE:        6470 Bytes (9 Makros)
  142. ■ SYMPTOME:       Die Farbpalette von Windows wird verändert
  143. ■ REINIGUNG:      Viren-Makros aus infizierten Dokumenten löschen
  144. ■                 (AutoClose, AutoExec,, AutoOpen, FileExit, FileNew,
  145. ■                  FileSave, FileSaveAs, macros, ToolsMacro)
  146.  
  147. <Colors> ist ein komplexer Makrovirus und besteht aus Execute-Only 9 Makros:
  148.  
  149. "AutoClose"
  150. "AutoExec"
  151. "AutoOpen"
  152. "FileExit"
  153. "FileNew"
  154. "FileSave"
  155. "FileSaveAs"
  156. "macros"
  157. "ToolsMacros"
  158.  
  159. <Colors> ist der erste Makro-Virus der trotz ausgeschalteter Auto-Makros in
  160. der Lage ist das System zu infizieren. Außerdem besitzt er eine Art Tarn-
  161. kappenfunktion: ist das System infiziert kann der Anwender nicht mehr über
  162. den Befehl "Extras/Makros" die Makroliste betrachten und damit den Virus
  163. entdecken. Der Virus besitzt sogar einen Debug-Modos in dem ständig Hinweise
  164. über die Aktionen des Virus ausgegeben werden. Außerdem werden die Makros des
  165. Virus im Debug-Modus nicht als Execute-Only (verschlüsselt) abgespeichert.
  166.  
  167. Beim Aufruf einer der Virenmakros (bis auf AutoExec) versucht der Virus als
  168. erstes die globale Makrovorlage NORMAL.DOT zu infizieren, wobei der Hinweis
  169. das NORMAL.DOT verändert werden soll abgeschaltet wird. Auto-Makros hingegen
  170. werden von Virus aktiviert falls der Anwender diese ausgeschaltet hatte.
  171.  
  172. Der Virus prüft ob sämliche seiner Makros bereits in der globalen Vorlage
  173. vorhanden sind. Ist das nicht der Fall, übertragt der Virus seine Makros und
  174. ersetzt dabei evtl. vorhandene Makros. NORMAL.DOT wird beim Öffnen,
  175. Speichern sowie Schließen von Dokumenten und beim Beenden von Word infiziert.
  176. <Colors> infiziert Dokumente beim Erzeugen und Speichern von Dateien
  177. (FileNew, FileSave, FileSaveAs), wobei auch hier anhand der Makroliste ge-
  178. prüft wird ob das Dokument bereits infiziert wird.
  179.  
  180. Die Schadensfunktion und weitere Unterfunktionen des Virus befinden sich im
  181. Makro "macros". Die Schadensfunktion (eine Unterroutine "objectiv") wird bei
  182. jedem Aufruf eines Virusmakros ausgeführt, bis auf "AutoExec", das leer ist
  183. und offenbar nur definiert wurde um Antiviren-Makros zu überschreiben.
  184. Der Virus erzeugt in der WIN.INI eine Variable im Abschnitt [Windows] mit dem
  185. Namen "countersu", die von 0 an hochgezählt wird. Bei jedem dreihundertsten
  186. Aufruf der Schadensfunktion setzt der Virus die Farbpalette von 21 ver-
  187. schiedenen Windows-Desktopelementen auf zufällige Werte.
  188.  
  189.  
  190. Analyse 5.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)
  191. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  192.  
  193.  
  194. [ WordMacro.Concept ]────────────────────────────────────────────────────────
  195.  
  196. ■ VIRUSNAME:      Concept, Prank
  197. ■ VIRUSTYP:       Microsoft Word Makro-Virus
  198. ■ INFIZIERT:      Microsoft Word Dokumente und Vorlagen
  199. ■ GROESSE:        1968 Bytes (4 Makros)
  200. ■ SYMPTOME:       Anzeige einer "1" innerhalb eines Textfensters
  201. ■                 beim Infizieren der globalen Makrovorlage
  202. ■ REINIGUNG:      Viren-Makros aus infizierten Dokumenten löschen
  203. ■                 (AutoOpen, AAAZAO, AAAZFS, Payload. FileSaveAs)
  204.  
  205. <Concept> ist der erste Makro-Virus für Microsoft Word, der in freier Wild-
  206. bahn auftauchte. Erste Infektionen wurden um August 1995 gemeldet, heute ist
  207. dieser Virus einer der verbreitesten Viren weltweit und hat mittlerweile
  208. selbst Bootviren wie <Form> verdrängt. Makro-Viren wie <Concept> sind Plat-
  209. formunabhängig und funktionieren unter Word für Windows, Windows 95, Windows
  210. NT und Macintosh. Die Idee eines Makro-Virus ist nicht neu, bereits 1994
  211. wurde ein Demonstrationsvirus (<WordMacro.DMV>) programmiert. Makro-Viren für
  212. Microsoft Word nutzen folgende Umstände aus:
  213.  
  214. 1) Es ist möglich Word-Dokumente problemlos in Vorlagen umzuwandeln um darin
  215.    Makros zu speichern. Der Name der Datei kann weiterhin auf ".DOC" enden.
  216. 2) Es gibt Auto- und Systemmakros, die entweder automatisch bei bestimmten
  217.    Aktionen von Word ausgeführt werden oder bestimmte Systemfunktionen von
  218.    Word entsprechen. Diese Makros können beliebig neu belegt werden.
  219. 3) Eine globale Dokumentvorlage erlaubt das automatische Laden von benutzer-
  220.    definierten Makros beim Start von Word.
  221. 4) Die WordBasic-Makrosprache ist sehr mächtig, Makros können sich selber
  222.    kopieren und sämtliche DOS-Befehle oder sogar API-Funktionen von Windows
  223.    aufrufen. Einige der Makro-Viren enthalten in ASCII-Texte umgewandelte
  224.    DOS-Viren, die ins System eingeschleust werden.
  225. 5) Die meisten Makro-Viren verschlüsseln ihre Makros (Execute-Only Makros) um
  226.    eine Analyse zu erschweren. Execute-Only Makros können nur noch ausge-
  227.    führt, gelöscht oder umbenannt werden. Das Betrachten oder Editieren des
  228.    Makrotexts ist nicht mehr möglich.
  229.  
  230. Da Makro-Viren WordBasic benutzen existieren sie nur solange Microsoft Word
  231. aktiv ist. Beendet man Word wird auch ein gerade aktiver Virus beendet.
  232. Außerhalb von Word sind Makro-Viren deshalb wirkungslos, sie können jedoch
  233. permanenten Schaden wie das Löschen von wichtigen Systemdateien usw. verur-
  234. sachen.
  235.  
  236. Der <Concept>-Virus besteht aus vier Makros, die unverschlüsselt vorliegen:
  237.  
  238. "AAAZAO"
  239. "AAAZFS"
  240. "AutoOpen"
  241. "Payload"
  242.  
  243. <Concept> wird aktiv wenn der Anwender mit Word ein infiziertes Dokument
  244. öffnet um es zu betrachten. Das gelingt dem Virus weil Word das im Virus
  245. enthaltene Makro "AutoOpen" automatisch beim Öffnen von Dokumenten ausführt
  246. ohne den Anwender vorher zu benachrichtigen. Es gibt noch weitere Auto-
  247. Makros, die von Word bei bestimmenten Aktionen (Datei Öffnen, Schließen,
  248. Speichern, Drucken etc.) ausgeführt werden.
  249.  
  250. Wird ein infiziertes Dokument geöffnet prüft das Virenmakro "AutoOpen"
  251. zunächst nach ob in der globalen Makrovorlage "NORMAL.DOT" bereits die Viren-
  252. makros "Payload" und "FileSaveAs" (DateiSpeichernUnter) vorhanden sind.
  253. Ist das der Fall geht <Concept> davon aus das das System bereits infiziert
  254. ist und bricht den Initalisierungsvorgang ab. Ist "NORMAL.DOT" noch nicht
  255. infiziert überträgt der Virus seine Makros mit Hilfe des Befehls
  256. MakroKopieren wobei das Makro "AAAZFS" unter den neuen Namen "FileSaveAs" ge-
  257. speichert wird. NORMAL.DOT enthält nach der Infektion folgende Makros:
  258.  
  259. "AAAZAO"
  260. "AAAZFS"
  261. "FileSaveAs"
  262. "Payload"
  263.  
  264. Nach erfolgter Infektion der globalen Vorlage setzt der Virus in der WIN.INI
  265. den Eintrag "WW6I = 1" und zeigt ein Textfenster mit einer "1" an. Offenbar
  266. wollte der Virenprogrammierer eine Art Generationszähler einbauen, aber der
  267. Befehl zum Erhöhen des Zählers "WW6Infector" fehlt.
  268.  
  269. <Concept> infiziert weitere Dokumente wenn der Anwender Dateien über den
  270. Menüpunkt "Dateien/Speichern unter" sichern will. Zuerst wird der Dokumenttyp
  271. von "Word Dokument" auf "Word Vorlage" umgestellt und anschließend die Viren-
  272. makros aus der gobalen Vorlage in das Dokument übertragen.
  273.  
  274. Der Virus besitzt keine Schadensfunktion, obwohl er ein entsprechendes Makro
  275. ("Payload") enthält. Das betreffende Makro ist bis auf eine Bemerkung leer:
  276.  
  277. "                        That's enough to prove my point                    ""
  278.  
  279. Der folgende Text befindet sich im Viruscode, wird aber nie angezeigt:
  280.  
  281. "                            PayLoad is just for fun.                       "
  282.  
  283. Da <Concept> englische Makronamen wie "FileSaveAs" benutzt, funktionier er
  284. mit der deutschen Version von Word nicht richtig, lediglich NORMAL.DOT wird
  285. infiziert.
  286.  
  287. <Concept> wurde versehentlich von mehreren Firmen einschliesslich
  288. Microsoft auf CD's verschickt ist daher besonders stark verbreitet.
  289.  
  290.  
  291. Analyse 4.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)
  292. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  293.  
  294.  
  295. [ WordMacro.Trojan.FormatC ]─────────────────────────────────────────────────
  296.  
  297. ■ VIRUSNAME:      Trojan.FormatC
  298. ■ VIRUSTYP:       Microsoft Word Makro-Trojan
  299. ■ INFIZIERT:      ---
  300. ■ GROESSE:        81 Bytes (1 Makro)
  301. ■ SYMPTOME:       C: wird formatiert
  302. ■ REINIGUNG:      Viren-Makro aus infizierten Dokumenten löschen
  303. ■                 (AutoOpen)
  304.  
  305. <FormatC> ist kein Virus, sondern ein trojanische Pferd das sich nicht nicht
  306. wie ein Virus selbst vermehrt. Das trojanische Pferd besteht aus einen
  307. verschlüsselten Makro, "AutoOpen".
  308.  
  309. Beim Öffnen des infizierten Dokuments wird der DOS-Befehl FORMAT aufgerufen
  310. und das Laufwerk C: formatiert.
  311.  
  312.  
  313. Analyse 4.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)
  314. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  315.  
  316.  
  317. [ WordMacro.Friendly ]───────────────────────────────────────────────────────
  318.  
  319. ■ VIRUSNAME:      Friendly, Friends
  320. ■ VIRUSTYP:       Microsoft Word Makro-Virus
  321. ■ INFIZIERT:      Microsoft Word Dokumente und Vorlagen
  322. ■ GROESSE:        9867 Bytes (20 Makros)
  323. ■ SYMPTOME:       Anzeige von Texten, Aktivierung eines DOS-Virus
  324. ■ REINIGUNG:      Viren-Makros aus infizierten Dokumenten löschen
  325.  
  326. <Friendly> stammt offenbar vom Autor des Makro-Virus <LBYNJ>, da auch in
  327. diesem Virus eine Referenz auf "Nightmare Joker" vorhanden ist. <Friendly>
  328. ist ein umfangerreicher Makro-Virus und besteht aus 20 Makros:
  329.  
  330. "Abbrechen"
  331. "AutoExec"
  332. "AutoOpen"
  333. "Cancel"
  334. "DateiBeenden"
  335. "DateiNeu
  336. "DateiÖffnen"
  337. "DateiSchließen"
  338. "DateiSpeichern"
  339. "DateiSpeichernUnter"
  340. "ExtrasMacro"
  341. "ExtrasMakro"
  342. "Fast"
  343. "FileExit"
  344. "FileNew"
  345. "FileOpen"
  346. "FileSave"
  347. "FileSaveAs"
  348. "Infizieren"
  349. "Talk"
  350.  
  351. Es wurde der Versuch gemacht, einen mehrsprachigen Virus zu schreiben, alle
  352. Makronamen wurden übersetzt und intern englische Makrobefehle benutzt. Der
  353. Virus erkennt anhand der Währungseinstellung (DM), ob er mit der deutschen
  354. Version von Word aufgerufen wurde. Dem Autor lag aber offenbar nicht die
  355. englische Version von Word vor, einige Makronamen wurden falsch übersetzt
  356. (ExtrasMacro anstatt ToolsMacro). <Friendly> funktioniert daher nicht mit
  357. anderssprachigen Versionen von Word.
  358.  
  359. Der Virus wird beim Öffnen eines infizierten Dokuments oder beim Starten von
  360. Word aktiviert und versucht die globale Vorlage NORMAL.DOT zu infizieren.
  361. Anhand des Eintrags "[Friends]", "Author = Nightmare Joker" erkennt
  362. <Friendly>, ob die Vorlage bereits infiziert ist. Nachdem die Makros über-
  363. tragen wurden ruft der Virus die Schadensfunktion im Makro "Fast" auf.
  364.  
  365. <Friendly> infiziert weitere Dokumente beim Abbrechen von Aktionen, Beenden
  366. von Word, Erstellen neuer Dokumente und beim Öffnen, Schließen oder Speichern
  367. von Dokumenten. Wie bei Makro-Viren üblich, wird das infizierte Dokument
  368. intern in eine Vorlage umgewandelt. Der Virus prüft nicht, ob ein Dokument
  369. bereits infiziert ist und überschreibt bereits bestehende Makros.
  370. Nach der Infektion ruft <Friendly> sein Makro "Talk" auf.
  371.  
  372. Die Schadensfunktion im Makro "Fast" wird ausgelöst, falls die Systemuhrzeit
  373. ein Sekundenfeld von kleiner gleich 2 hat. Der Virus erzeugt dann im C:\DOS-
  374. Verzeichnis ein Debugscript und wandelt es mittels dem DOS-Befehl DEBUG.EXE
  375. in eine ausführbare Datei um. <Friendly> fügt einen Eintrag ans Ende der
  376. AUTOEXEC.BAT an damit der erzeugte DOS-Virus beim nächsten Systemstart
  377. aktiviert wird. Der in <Friendly> enthaltene DOS-Virus ist ein speicher-
  378. residenter 395 Bytes großer Companion-Virus, der mit CryptCOM verschlüsselt
  379. wurde. Dieser Virus zeigt am 1.1. den Text
  380.  
  381. "                            Ein gutes neues Jahr !                         "
  382.  
  383. an und infiziert EXE-Programme beim Starten, indem gleichnamige COM-Dateien
  384. erzeugt werden, welche das READ-ONLY und HIDDEN-Attribut gesetzt haben.
  385.  
  386. Ist der Virus aktiv, wird beim Versuch die Makro-Liste anzuzeigen nur der
  387. Text
  388.  
  389. "You can't do that!"
  390. "I'm very anxious!"
  391. "Hello my friend!"
  392. "<< Friends >> Virus"
  393.  
  394. bzw.
  395.  
  396. "Du kannst das nicht tun!"
  397. "Ich bin sehr ängstlich!"
  398. "Hallo mein Freund!"
  399. "<< Friends >> Virus"
  400.  
  401. angezeigt.
  402.  
  403. Ab dem 1.5.1996 zeigt der Virus beim ersten Infizieren eines Dokuments
  404. (außer NORMAL.DOT) den folgenden Text an (Aufruf des Makros "Talk"):
  405.  
  406. "Hallo mein Freund!"
  407. "Ich bin der << Friends >> Virus und wie heißt du?"
  408. "Gib doch bitte anschließend unten deinen Namen ein:"
  409. "Also ..... ich habe eine gute und eine schlechte Nachricht für dich!"
  410. "Die schlechte Nachricht ist, daß ich mich auf deiner Platte eingenistet"
  411. "habe und die gute ist, daß ich aber ein freundlicher und auch nützlicher"
  412. "Virus bin. Drücke bitte OK für Weiter!"
  413.  
  414. "Wenn du mich nicht killst, dann füge ich ein Programm in deine"
  415. "Autoexec.bat ein, daß deine lame Tastatur etwas auf Touren bringt."
  416. "Also ...., gib dir einen Ruck und kill mich nicht. Goodbye!"
  417.  
  418. bzw.
  419.  
  420. "Hello my Friend!"
  421. "I'm the << Friends >> Virus and how are you?"
  422. "Can you give me your name, please?"
  423. "Hello .... I have a good and a bad message for you! The bad message is that"
  424. "you have now a Virus on your Harddisk and the good message is that I'm
  425. "harmless and useful. Press OK!"
  426.  
  427. "If you don't kill me, I will insert a programme in your AutoExec.bat thats
  428. "your Keyboard accelerated. Please .... don't kill me. Goodbye!"
  429.  
  430. wobei der jeweils eingegebene Name angezeigt wird. Diese Texte werden jedoch
  431. nur ein einziges Mal angezeigt.
  432.  
  433.  
  434. Analyse 11.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)
  435. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  436.  
  437. [ WordMacro.Intended.Guess ]─────────────────────────────────────────────────
  438.  
  439. ■ VIRUSNAME:      Guess
  440. ■ VIRUSTYP:       Microsoft Word Makro-Virus (Companion)
  441. ■ INFIZIERT:      Microsoft Word Vorlagen
  442. ■ GROESSE:        1126 Bytes (1 Makro)
  443. ■ SYMPTOME:       Texte werden ausgedruckt oder in Dokumente eingefügt,
  444. ■                 Dokumente beim Öffnen sofort wieder geschlossen
  445. ■ REINIGUNG:      Viren-Makro aus infizierten Dokumenten löschen
  446. ■                 (AutoOpen)
  447.  
  448. <Guess> besitzt gegenüber anderen Makro-Viren einige ungewöhnliche Eigen-
  449. schaften. Zunächst besteht der Virus nur aus einen einzigen verschlüsselten
  450. (Execute-Only) Makro, "AutoOpen", und belegt nicht wie andere Viren weitere
  451. Makros wie z.B. "DateiSpeichernUnter" um sich zu verbreiten. Die Infektions-
  452. routine für die globale Vorlage NORMAL.DOT und normale Dokumente befinden
  453. sich innerhalb von "AutoOpen". Der Virus wandelt nicht bestehende Dokumente
  454. in Vorlagen um, sondern erzeugt gleichnamige .DOT-Dateien zu bestehenden
  455. .DOC-Dokumenten. Er funktion also so aehnlich wie die von DOS bekannten
  456. Companion-Viren. Der Virus kann sich allerdings nur dann verbreiten, wenn
  457. der Anwender die infizierten .DOT-Dateien mitkopiert - was sehr unwahr-
  458. scheinlich ist.
  459.  
  460. Wird ein mit <Guess> infizierte Vorlage geöffnet, prüft der Virus ob die
  461. Dokumentenvariablen "populated" gesetzt ist. Ist das nicht der Fall erzeugt
  462. der Virus eine neue globale Vorlage NORMAL.DOT und kopiert das Virus-Makro
  463. "AutoOpen" in die neu erzeugte Datei. Anschließend setzt <Guess> die Variable
  464. "populated" um das System als infiziert zu kennzeichnen.
  465. Ist diese Variable bereits gesetzt infiziert der Virus das gerade geöffnete
  466. Dokument indem "AutoOpen" in das Dokument mit dem Befehl MakroKopieren über-
  467. tragen wird. <Guess> ist der erste Makro-Virus der Dokumentvariablen als
  468. Selbsterkennung von bereits infizierten Dokumenten verwendet.
  469.  
  470. In Abhängigkeit von einer Zufallszahl (mit Werten von 0 bis 100) aktiviert
  471. der Virus verschiedene Schadensfunktionen. Es wird unter anderen die Größe
  472. der Schriftart geändert oder ein neues Dokument (NORMAL.DOT) mit dem Inhalt
  473.  
  474. "The word is out."
  475.  
  476. "The word is spreading..."
  477.  
  478. "The Phantom speaks..."
  479.  
  480. erzeugt, welches dann ausgedruckt wird.
  481.  
  482. Ebenfalls möglich ist der folgende Text, der ebenfalls in eine neu erzeugte
  483. Datei "NORMAL.DOT" eingefügt und ausgedruckt wird:
  484.  
  485. "Sedbergh"
  486.  
  487. "is CRAP"
  488.  
  489. "The word spreads..."
  490.  
  491. Die folgenden Texte werden je nach Wert der berechneten Zufallszahl in das
  492. gerade aktuelle Dokument eingefügt:
  493.  
  494. "This school is really good.  NOT"
  495.  
  496. "We all love Mr. Hirst."
  497.  
  498. "Mr. Hirst is a great bloke"
  499.  
  500. "M.R.Beard"
  501.  
  502. "This network is REALLY fast."
  503.  
  504. "Hi sexy!"
  505.  
  506. "Who's been typing on my computer?"
  507.  
  508. "Well helloooo there!"
  509.  
  510. "Guess who?"
  511.  
  512. Außerdem wird gelegentlich die gerade geöffnete Datei sofort wieder
  513. geschlossen.
  514.  
  515. Da der Virus nur das Makro "AutoOpen" belegt funktioniert er auch problemlos
  516. mit der deutschen Version von Winword.
  517.  
  518.  
  519. Analyse 3.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)
  520. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  521.  
  522. [ WordMacro.Hot ]────────────────────────────────────────────────────────────
  523.  
  524. ■ VIRUSNAME:      Hot
  525. ■ VIRUSTYP:       Microsoft Word Makro-Virus
  526. ■ INFIZIERT:      Microsoft Word Dokumente und Vorlagen
  527. ■ GROESSE:        5515 Bytes (4 Makros)
  528. ■ SYMPTOME:       Textinhalt von Dokumenten wird gelöscht
  529. ■ REINIGUNG:      Viren-Makros aus infizierten Dokumenten löschen
  530. ■                 (AutoOpen, DrawBringInFrOut, InsertPBreak, ToolsRepaginat,
  531. ■                  FileSaveAs, StartOfDoc)
  532.  
  533. <Hot> ist ein komplexer Virus, der aus 4 verschüsselten Makros besteht, Er
  534. wird durch Ausführen des Makros "AutoOpen" beim Öffnen eines infizierten
  535. Dokuments aktiv. Zunächst wird die Abfrage von Word bei Veränderung von
  536. NORMAL.DOT abgeschaltet, damit sich der Virus ungestört in die globale Makro-
  537. Vorlage kopieren kann. <Hot> prüft, ob in der Datei "WINWORD6.INI" ein
  538. Eintrag "QLHot" vorhanden ist. Hier fügt der Virus ein Datum ein, das 14 Tage
  539. nach dem Tag liegt, an dem die globale Vorlage infiziert wurde. Ist diese
  540. Variable noch nicht gesetzt versucht <Hot> NORMAL.DOT zu infizieren.
  541. Der Infektionsvorgang wird abgebrochen, falls bereits eins der Virenmakros
  542. vorhanden ist. Die Makros werden mit dem WordBasic-Befehl "MakroKopieren"
  543. übertragen, wobei einige der Makros dabei umbenannt werden:
  544.  
  545. "AutoOpen"
  546. "DrawBringInFrOut"
  547. "InsertPBreak"
  548. "ToolsRepaginat"
  549.  
  550. Folgende Makros sind zusätzlich in der infizierten NORMAL.DOT vorhanden:
  551.  
  552. "FileSave" (entspricht "ToolsRepaginat")
  553. "StartOfDoc" (entspricht "AutoOpen")
  554.  
  555. Interessant ist, das <Hot> spezielle Funktionen aus der Windows-Datei
  556. "KERNEL.EXE" benutzt (Win API). Diese Schnittstelle bietet eine sehr große
  557. Anzahl von Funktionen an, <Hot> benutzt lediglich die API um den Pfad von
  558. Windows festzustellen und um Dateien zu öffnen.
  559.  
  560. Die Schadensfunktion wird kurz nach dem Erreichen des unter "QLHot" festge-
  561. legten Datums ausgelöst, wobei der Text des gerade aktiven Dokuments ge-
  562. lösocht wird. Falls die Datei "C:\DOS\EGA5.CPI" vorhanden ist, überspringt
  563. <Hot> die Schadensfunktion.
  564.  
  565.  
  566. Analyse 7.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)
  567. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  568.  
  569. [ WordMacro.Imposter ]───────────────────────────────────────────────────────
  570.  
  571. ■ VIRUSNAME:      Imposter
  572. ■ VIRUSTYP:       Microsoft Word Makro-Virus
  573. ■ INFIZIERT:      Microsoft Word Dokumente und Vorlagen
  574. ■ GROESSE:        907 Bytes (2 Makros)
  575. ■ SYMPTOME:       Anzeige eines Textfensters: "DMV"
  576. ■ REINIGUNG:      Viren-Makros aus infizierten Dokumenten löschen
  577. ■                 (AutoClose, DMV, FileSaveAs)
  578.  
  579. <Imposter> basiert auf <Concept>, wurde jedoch modifiziert und enthält jetzt
  580. nur noch zwei unverschüsselte Makros.
  581.  
  582. "FileClose"
  583. "DMV"           ("FileSaveAs" in NORMAL.DOT)
  584.  
  585. Die globale Makro-Vorlage wird beim Schließen eines infizierten Dokuments
  586. verseucht, falls noch nicht die Makros "DMV" oder "FileSaveAs" in der Vorlage
  587. vorhanden sind. Der Virus benennt beim Kopieren das Makro "DMV" in
  588. "FileSaveAs" um und zeigt danach ein Fenster mit folgenden Inhalt an:
  589.  
  590. "                                    DMV                                    "
  591.  
  592. Der Virus bereitet sich beim Aufruf der Funktion "DateiSpeichernUnter" aus
  593. wobei wie üblich das Dokument intern in eine Vorlage umgewandelt wird.
  594.  
  595. Der folgende Text ist im Virus enthalten, wird jedoch nicht angezeigt:
  596.  
  597. "                        just to prove another point                        "
  598.  
  599. (Dieser Text bezieht sich auf den ursprünglichen <Concept>-Virus, der den
  600.  Text "this is enough to prove my point" enthält)
  601.  
  602. Aufgrund der verwendeten englischen Makronamen funktioniert der Virus nicht
  603. zusammen mit der deutschen Version von Word.
  604.  
  605.  
  606. Analyse 4.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)
  607. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  608.  
  609.  
  610. [ WordMacro.LBYNJ ]──────────────────────────────────────────────────────────
  611.  
  612. ■ VIRUSNAME:      LBYNJ, Tele, Telefonica
  613. ■ VIRUSTYP:       Microsoft Word Makro-Virus
  614. ■ INFIZIERT:      Microsoft Word Dokumente und Vorlagen
  615. ■ GROESSE:        22256 Bytes
  616. ■ SYMPTOME:       Text wird Dateien beim Drucken hinzugefügt, Infektion des
  617. ■                 Systems mit Kampana.3784
  618. ■ REINIGUNG:      Viren-Makros aus infizierten Dokumenten löschen
  619.  
  620. <LBYNJ> ist ein weiterer deutscher Makro-Virus und basiert höchstwahrschein-
  621. lich auf älteren Viren wie <Xenixos>. Die 7 Makros von <LBYNJ> sind insgesamt
  622. 22256 Bytes groß und liegen in verschlüsselter Form vor (Execute-Only):
  623.  
  624. "AutoExec"
  625. "AutoOpen"
  626. "DateiBeenden"
  627. "DateiDrucken"
  628. "DateiNeu"
  629. "DateiÖffnen"
  630. "Telefonica"
  631.  
  632. Das Makro "AutoExec" enthält den Programmteil für die Infektion der globalen
  633. Makrovorlage NORMAL.DOT. Diese wird nicht infiziert wenn in der WIN.INI unter
  634. "Compability" der String "0x0030303" gleich "LBYNJ" gesetzt ist. Das Makros
  635. "AutoExec" ruft seinerseits die Schadensfunktion im Makro "Telefonica" auf.
  636.  
  637. "AutoOpen" start lediglich "AutoExec", was bedeutet das NORMAL.DOT beim
  638. Öffnen eines infizierten Dokuments oder beim Start von Word infiziert wird.
  639. Der Virus benutzt den Makronamen "Telefonica" als Selbsterkennung und
  640. infiziert die globale Vorlage nicht wenn dieses Makro bereits vorhanden ist.
  641. Während der Infektion wird die Option "AutoMakrosUnterdrücken" ausgeschaltet,
  642. damit werden also Makros wie "AutoOpen" wieder automatisch ausgeführt.
  643.  
  644. Weitere Dokumente werden von <LBYNJ> beim Aufruf der Makros "DateiBeenden",
  645. "DateiNeu" und "DateiÖffnen" infiziert, wobei am Ende von "DateiÖffnen"
  646. wieder das Makro "Telefonica" aufgerufen wird. Dokumente werden intern in
  647. Vorlagen umgewandelt bevor sie infiziert werden.
  648.  
  649. Die erste Schadensfunktion des Virus befindet sich im Makro "DateiDrucken".
  650. Wird ein Dokument gedruckt und ist die Sekundenzahl der aktuelle Uhrzeit
  651. kleiner 10 wird vor dem Drucken am Dateiende der folgende Text angefügt:
  652.  
  653. "                   Lucifer by Nightmare Joker (1996)                       "
  654.  
  655. Die zweite Schadensfunktion wird über das Makro "Telefonica" aktiviert wenn
  656. das Sekundenfeld der aktuellen Uhrzeit 0 oder 1 ist ("Telefonica" wird von
  657. "AutoOpen", "AutoExec" und "DateiÖffnen" aufgerufen). Tritt diese Bedingung
  658. ein erzeugt <LBYNJ> in "C:\DOS" eine Datei mit dem Namen "TELEFONI.SCR", die
  659. ein Debug-Script des DOS-Virus <Kampana.3784> enthält. Nach dem Erzeugen der
  660. .SCR-Datei wird eine Batchdatei erzeugt und ausgeführt. "TELEFONI.BAT" ruft
  661. den DOS-Befehl C:\DOS\DEBUG.EXE auf um das Debug-Script in einen lauffähigen
  662. Binärcode umzuwandeln und startet danach den DOS-Virus.
  663.  
  664.  
  665.            Analyse 30.04.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)
  666.            ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  667.  
  668. [ WordMacro.NOP ]────────────────────────────────────────────────────────────
  669.  
  670. ■ VIRUSNAME:      NOP
  671. ■ VIRUSTYP:       Microsoft Word Makro-Virus
  672. ■ INFIZIERT:      Microsoft Word Dokumente und Vorlagen
  673. ■ GROESSE:        246 Bytes (2 Makros)
  674. ■ SYMPTOME:       Keine Schadensfunktion
  675. ■ REINIGUNG:      Viren-Makros aus infizierten Dokumenten löschen
  676. ■                 (AutoOpen, NOP)
  677.  
  678. <NOP> ist der bisher kleinste bekannte Makrovirus und ist lediglich 246 Bytes
  679. lang. Der Virus ist sehr primitiv enthält nur die allernotwendigsten Befehle
  680. um sich zu verbreiten. Die beiden Makros des Virus sind nicht verschlüsselt.
  681. Die einzige Besonderheit des Virus ist, daß er die Abfrage zum Speichern von
  682. NORMAL.DOT gezielt ausschaltet.
  683.  
  684. In infizierten Dokumenten finden sich die folgenden Makros:
  685.  
  686. "AutoOpen"
  687. "NOP"
  688.  
  689. Wird ein infiziertes Dokument geöffnet überträgt sich der Virus in die
  690. gloable Makrovorlage NORMAL.DOT und benennt dabei "NOP" in "DateiSpeichern"
  691. um. Weitere Dokumente werden dann beim Speichern infiziert und wie bei Makro-
  692. viren üblich in Vorlagen umgewandelt.
  693.  
  694. <NOP> hat keine Schadensfunktion, keine Fehlerüberprüfung und keine Erkennung
  695. ob Dokumente bereits infiziert sind. Die Makros in bereits infizierten
  696. Dokumenten werden erneut überschrieben.
  697.  
  698. Der Virus benutzt den Makronamen "DateiSpeichern" und ist damit nur mit dem
  699. deutschen Word zusammen lauffähig. Da jedoch der Virus unverschlüsselt ist,
  700. können leicht Varianten erstellt werden.
  701.  
  702.  
  703. Analyse 4.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)
  704. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  705.  
  706.  
  707. [ WordMacro.Nuclear ]────────────────────────────────────────────────────────
  708.  
  709. ■ VIRUSNAME:      Nuclear
  710. ■ VIRUSTYP:       Microsoft Word Makro-Virus
  711. ■ INFIZIERT:      Microsoft Word Dokumente und Vorlagen
  712. ■ GROESSE:        10556 Bytes (9 Makros)
  713. ■ SYMPTOME:       Text wird an Dokument beim Drucken angefügt, Systemdateien
  714. ■                 werden am 5.4. gelöscht.
  715. ■ URSPRUNG:       Australien
  716. ■ REINIGUNG:      Viren-Makros aus infizierten Dokumenten löschen
  717. ■                 (AutoExec, AutoOpen, DropSuriv, FileExit, FilePrint,
  718. ■                  FilePrintDefault, FileSaveAs, InsertPayload, Payload)
  719.  
  720. <Nuclear> war nach <Concept> der zweite Makro-Virus der in Umlauf gebracht
  721. wurde. Im Internet wurde ein Word-Dokument verteilt, das eine Warnung über
  722. den <Concept>-Virus enthielt, gleichzeitig aber mit <Nuclear> infiziert war.
  723. <Nuclear> war der erste Makro-Virus, der Execute-Only (verschlüsselte) Makros
  724. einsetzte um eine Analyse zu erschweren. Insgesamt besteht der Virus aus neun
  725. Makros mit insgesamt 10556 Bytes Länge:
  726.  
  727. "AutoExec"
  728. "AutoOpen"
  729. "DropSuriv"
  730. "FileExit"
  731. "FilePrint"
  732. "FilePrintDefault"
  733. "FileSaveAs"
  734. "InsertPayload"
  735. "Payload"
  736.  
  737. Über das Makro AutoExec oder AutoOpen wird der Virus aktiviert und kopiert
  738. sich in die globale Vorlage falls nicht bereits ein Makro mit dem Namen
  739. "AutoExec" vorhanden ist. NORMAL.DOT wird also beim Starten von Word und beim
  740. Öffnen eines infizierten Dokuments verseucht. Ein gesetztes Read-Only-
  741. Attribut kann der Virus allerdings nicht umgehen. Nachdem der Virus seine
  742. Makros in die globale Vorlage übertragen hat ruft er seine Schadensfunktionen
  743. auf:
  744.  
  745. Von 17:00 bis 17:59 Uhr erzeugt der Virus eine Textdatei mit einem Debug-
  746. Script des DOS/Windows-EXE-Virus <Ph33r> und benutzt "C:\DOS\DEBUG.EXE" um
  747. den Virus in eine lauffähige Form zu bringen. Dazu erzeugt der Virus weiter-
  748. hin eine Batchdatei "EXEC_PH.BAT" und ruft diese mit Shell auf. Allerdings
  749. ist diese Funktion fehlerhaft: Der Virus infiziert keine Datei und das DOS-
  750. Fenster mit dem aktiven Virus wird sofort wieder geschlossen. <Ph33r> wird
  751. also nie ins System eingeschleust.
  752.  
  753. Eine weitere Schadensfunktion wird beim Drucken von Dokumenten aufgerufen.
  754. Falls das Sekundenfeld der aktuellen Systemuhrzeit größer als 55 ist fügt
  755. der Virus vor dem Drucken am Dokumentende folgende Zeilen hinzu:
  756.  
  757. "                      And finally I would like to say:                     "
  758.  
  759. "              STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC!              "
  760.  
  761. Die dritte Schadensfunktion wird am 5. April ausgelöst. Der Virus löscht dann
  762. die Systemdateien "C:\IO.SYS", "C:\MSDOS.SYS" und "C:\COMMAND.COM".
  763.  
  764. Bei jedem Schließen einer Datei schaltet der Virus die Abfrage von Word ab,
  765. ob eine veränderte NORMAL.DOT wirklich gesichert werden soll. Diese Schutz-
  766. funktion ist also gegen <Nuclear> wirkungslos.
  767.  
  768. <Nuclear> infiziert Dokumente beim Speichern mittels der Funktion
  769. "DateiSpeichernUnter" (FileSaveAs), wobei Dokumente intern in Vorlagen umge-
  770. wandelt werden. Der Virus überprüft nicht, ob ein Dokument bereits infiziert
  771. ist und überschreibt evtl. vorhandene Makros.
  772.  
  773. Da der Virus englische Makronamen wie "FileSaveAs" verwendet, funktioniert er
  774. nicht zusammen mit der deutschen Version von Word.
  775.  
  776.  
  777. Analyse 7.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)
  778. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  779.  
  780. [ WordMacro.Pheeew ]─────────────────────────────────────────────────────────
  781.  
  782. ■ VIRUSNAME:      Pheeew, Concept.Dutch
  783. ■ VIRUSTYP:       Microsoft Word Makro-Virus
  784. ■ INFIZIERT:      Microsoft Word Dokumente und Vorlagen
  785. ■ GROESSE:        2759 Bytes (4 Makros)
  786. ■ SYMPTOME:       Anzeigen von Texten, Löschen von Dateien in C:\ und C:\DOS
  787. ■ REINIGUNG:      Viren-Makros aus infizierten Dokumenten löschen
  788. ■                 (AutoOpen, IkWordNietGoed1, IkWordNietGoed2 ,Lading)
  789.  
  790. <Pheeew> ist ein holländischer Makro-Virus der stark auf dem Virus <Concept>
  791. basiert. Wie <Concept> besteht <Pheeew> aus vier unverschüsselten Makros:
  792.  
  793. "AutoOpen"
  794. "IkWordNietGoed1"
  795. "IkWordNietGoed2"
  796. "Lading"
  797.  
  798. Wird ein infiziertes Dokument geöffnet überprüft der Virus, ob die globale
  799. Vorlage NORMAL.DOT bereits infiiziert ist indem er nach den Namen der Makros
  800. "Lading" und "BestandOpslaanAls" sucht. Ist NORMAL.DOT noch nicht infiziert
  801. kopiert der Virus seine Makros in die globale Vorlage. Das Makro
  802. "IkWordNietGoed2" wird dabei unter dem Namen "BestandOpslaanAls"
  803. ("DateiSpeichernUnter") abgesichert. Anschließend zeigt der Virus mehrere
  804. Fenster mit dem folgenden Inhalt an:
  805.  
  806. Fenster "Important":
  807.  
  808. "                                   Gotcha !                                "
  809.  
  810. Fenster "FINAL WARNING!":
  811.  
  812. "                 STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC            "
  813.  
  814. Bestätigt der Anwender das letzte Fenster mit dem "Nein"-Button wird die
  815. Schadensfunktion des Virus ausgelöst. Alle Dateien in "C:\DOS" und "C:\"
  816. werden gelöscht, evtl. gesetzte Dateiattribute dabei umgangen.
  817.  
  818. Dokumente werden beim Aufruf der Funktion "DateiSpeichernUnter" infiziert und
  819. wie bei Makro-Viren üblich intern in Vorlagen umgewandelt.
  820.  
  821.  
  822. Der Virus enthält unter anderen die folgenden Texte:
  823.  
  824. "                                Done by the Catman                         "
  825.  
  826. Makro "Lading":
  827.  
  828. " Sub MAIN                                                                  "
  829. "    REM STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC                     "
  830. "    REM              *** WARNING ***                                       "
  831. "    REM You're computer could be killed right now!                         "
  832. "    REM Thanks to you and me it's still ok!                                "
  833. "    REM Next time will be worse!                                           "
  834. "    REM              *** PHEEEW! ***                                       "
  835. "    REM STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC                     "
  836. " End Sub                                                                   "
  837.  
  838. <Pheeew> funktioniert nicht mit der deutschen Version von Word.
  839.  
  840.  
  841. Analyse 4.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)
  842. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  843.  
  844.  
  845. [ WordMacro.Polite ]─────────────────────────────────────────────────────────
  846.  
  847. ■ VIRUSNAME:      Polite, WW2DEMO
  848. ■ VIRUSTYP:       Microsoft Word Makro-Virus
  849. ■ INFIZIERT:      Microsoft Word Dokumente und Vorlagen
  850. ■ GROESSE:        1918 Bytes (2 Makros)
  851. ■ SYMPTOME:       Anzeige von Textfenstern
  852. ■ REINIGUNG:      Viren-Makros aus infizierten Dokumenten löschen
  853. ■                 (FileClose, FileSaveAs)
  854.  
  855. <Polite> kann bestenfalls als Demonstrationsvirus bezeichnet werden da eine
  856. ungewollte Verbreitung sehr unwahrscheinlich ist: Der Virus bei jedem Versuch
  857. eine Datei zu infizieren ein Fenster mit der Frage
  858.  
  859. "                          Shall I infect the file ?                        "
  860.  
  861. an (Polite = Höflich). Betätigt der Anwender den "Nein"-Button wird das
  862. Dokument nicht infiziert. Beim Infizieren von NORMAl.DOT zeigt der Virus den
  863. folgenden Text an (Fenster: "Activization"):
  864.  
  865. "                                 I am alive!                               "
  866.  
  867. "FileClose"
  868. "FileSaveAs"
  869.  
  870. Der Virus besteht aus zwei unverschlüsselten Makros mit insgesamt 1918 Bytes
  871. Länge. Ursprünglich wurde der Virus mit Microsoft Word 2.0 erstellt, da Word
  872. 6.0 oder 7.0 aber die alten Makros übernehmen können werden auch Word 6.0 und
  873. 7.0 Dokumente infiziert. Ist der Virus jedoch ersteinmal nach Word 6.0
  874. konvertiert kann er keine Word 2.0 Dokumente mehr infizieren.
  875.  
  876. NORMAL.DOT wird beim Schließen eines infizierten Dokuments infiziert, aller-
  877. dingsn nur wenn kein Makro mit dem Namen "FileClose" vorhanden ist.
  878. Weitere Dokumente werden beim Aufruf von "DateiSpeichernUnter" infiziert.
  879.  
  880. Da der Virus keine Auto-Makros benutzt kann er nicht durch den Befehl
  881. "AutoMakrosUnterdrücken" bzw. durch den Parameter /M blockiert werden.
  882.  
  883. <Polite> benutzt die englischen Makronamen "FileSaveAs" sowie "FileClose"
  884. und funktioniert daher nicht mit der deutschen Version von Word.
  885.  
  886.  
  887. Analyse 4.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)
  888. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  889.  
  890.  
  891. [ WordMacro.Wazzu ]──────────────────────────────────────────────────────────
  892.  
  893. ■ VIRUSNAME:      Wazzu
  894. ■ VIRUSTYP:       Microsoft Word Makro-Virus
  895. ■ INFIZIERT:      Microsoft Word Dokumente und Vorlagen
  896. ■ GROESSE:        632 Bytes (1 Makro)
  897. ■ SYMPTOME:       Wörter werden im aktuellen Dokument gelöscht oder das Wort
  898. ■                 'wazzu ' eingefügt
  899. ■ REINIGUNG:      Viren-Makro aus infizierten Dokumenten löschen
  900. ■                 (AutoOpen)
  901.  
  902. <Wazzu> besteht nur aus einem einzigen unverschlüsselten Makro "autoOpen",
  903. welches eine Größe von 632 Bytes hat (der Anfangsbuchstabe wurde klein
  904. geschrieben).
  905.  
  906. Wird ein infiziertes Dokument geöffnet, ermittelt der Virus zunächst den
  907. Namen des aktuellen Dokuments. Ist dieser gleich "NORMAL.DOT" kopiert der
  908. Virus sein Makro von der globalen Makrovorlage in das gerade geöffnete
  909. Dokument, ansonsten wird NORMAL.DOT selber infiziert. Dokumente werden beim
  910. Infizieren wie bei Makro-Viren üblich in Vorlagen umgewandelt. Der Virus
  911. umgeht nicht die Word-Option 'Automatische Anfrage für Speicherung von
  912. Normal.dot'. Außerdem prüft der Virus nicht, ob ein Dokument bereits
  913. infiziert ist. Das Virenmakro "autoOpen" wird einfach überschrieben falls ein
  914. infiziertes Dokument erneut geöffnet wird.
  915.  
  916. Die Schadensfunktion wird nach jedem Öffnen von Dokumenten dreimal hinterein-
  917. ander vom Virus aufgerufen. Mit einer Wahrscheinlichkeit von ca. 20% löscht
  918. der Virus ein zufällig ausgewähltes Wort im aktuellen Text, mit einer Wahr-
  919. scheinlichkeit von ca. 25% fügt der Virus an einer zufälligen Position im
  920. aktuellen Dokument den Text "wazzu " ein. <Wazzu> ist der Spitzname der
  921. Washingtoner Universität.
  922.  
  923. Da der Virus nur das Makro "AutoOpen" belegt funktioniert er auch mit der
  924. deutschen Version von Microsoft Word.
  925.  
  926.  
  927. Analyse 4.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)
  928. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  929.  
  930.  
  931. [ WordMacro.Trojan.Wieder ]──────────────────────────────────────────────────
  932.  
  933. ■ VIRUSNAME:      Wieder, Wiederoeffnen, Pferd
  934. ■ VIRUSTYP:       Microsoft Word (2.0) Makro-Trojan
  935. ■ INFIZIERT:      ---
  936. ■ GROESSE:        638 Bytes (2 Makros)
  937. ■ SYMPTOME:       C:\AUTOEXEC.BAT wird verschoben
  938. ■ REINIGUNG:      Viren-Makro aus infizierten Dokumenten löschen
  939. ■                 (AutoOpen, AutoClose)
  940.  
  941. <Wieder> ist kein Virus sondern ein Trojanisches Pferd, da es nur Schaden
  942. anrichtet und sich nicht ausbreiten kann. Folgende unverschlüsselte Makros
  943. sind im infizierten Dokument vorhanden:
  944.  
  945. "AutoClose"
  946. "AutoOpen"
  947.  
  948. Öffnet man das infizierte Dokument erzeugt der Virus das Verzeichnis
  949. "C:\TROJA" und verschiebt die Systemdatei "C:\AUTOEXEC.BAT" in das neu
  950. erzeugte Verzeichnis. Anschließend wird das Original im Pfad "C:\" gelöscht.
  951.  
  952. Schließt man das infizierte Dokument wieder wird folgender Text angezeigt:
  953.  
  954. "Auf Wiederöffnen"
  955.  
  956. "P.S.: Falls Sie Ihre AUTOEXEC.BAT - Datei"
  957. "gerne wiederhaben möchten, sollten Sie einen"
  958. "Blick in das neue Verzeichnis C:\TROJA werfen..."
  959.  
  960. Das Word 2.0-Dokument, welches das Trojanische Pferd enthält, besteht aus dem
  961. folgenden Text:
  962.  
  963. " Trojanisches Pferd                                                        "
  964.  
  965. " Wenn Sie diese Zeilen lesen, wurde bereits Ihre AUTOEXEC.BAT-Datei aus dem"
  966. " Hauptverzeichnis C:\ entfernt. Hoffentlich haben Sie ein Kopie davon ?    "
  967.  
  968. " Genauso einfach wäre es gewesen, Ihre Festplatte zu löschen und mit ein   "
  969. " klein wenig mehr Aufwand könnte man auch einen Virus installieren.        "
  970.  
  971.  
  972.  
  973. Analyse 4.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)
  974. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  975.  
  976.  
  977. [ WordMacro.Xenixos ]────────────────────────────────────────────────────────
  978.  
  979. ■ VIRUSNAME:      Xenixos, Nemesis, Xos
  980. ■ VIRUSTYP:       Microsoft Word Makro-Virus
  981. ■ INFIZIERT:      Microsoft Word Dokumente und Vorlagen
  982. ■ SYMPTOME:       Text wird zu gedruckten Dokumenten hinzugefügt,
  983.                   Formatierung des Laufwerks C:, Veränderungen von
  984.                   AUTOEXEC.BAT, 'ExtrasMakro' funktioniert nicht
  985. ■ REINIGUNG:      Viren-Makros aus infizierten Dokumenten löschen
  986.  
  987.  
  988. <Xenixos> ist einer der ersten Makro-Viren, die speziell für die deutsche
  989. Version von Microsoft Word geschrieben wurden. Alle Texte im Viruscode und
  990. alle verwendeten Makronamen sind in deutsch Sprache, daher funktioniert der
  991. Virus nicht mit anderssprachigen Versionen von Word. Ursprünglich wurde der
  992. Virus in Österreich entdeckt, ein infiziertes Dokument mit einer angeblichen
  993. Viruswarnung wurde aber auch in dem Forum ALT.COMP.VIRUS gepostet.
  994.  
  995. Der Virus enthält folgende Makros, die über den Befehl Datei/Makros/
  996. Organisieren in infizierten Dokumenten gefunden werden können:
  997.  
  998. "AutoExec"
  999. "AutoOpen"
  1000. "DateiBeenden"
  1001. "DateiDrucken"
  1002. "DateiDruckenStandard"
  1003. "DateiÖffnen"
  1004. "DateiSpeichern"
  1005. "DateiSpeichernUnter"
  1006. "Drop"
  1007. "Dummy"
  1008. "ExtrasMakro"
  1009.  
  1010. Die infizierte Datei NORMAL.DOT enthält noch weitere Makros:
  1011.  
  1012. "AutoClose"
  1013. "AutoExit"
  1014. "AutoNew"
  1015.  
  1016. Diese enthalten aber nur das leere Makro "Dummy".
  1017.  
  1018. Wird ein infiziertes Dokument geöffnet, kopiert sich der Virus in die
  1019. globale Makrovorlage NORMAL.DOT; allerdings nur wenn das Makro 'Datei-
  1020. SpeichernUnter' noch nicht vorhanden ist. Danach ist der Virus voll
  1021. aktiviert und fängt die oben genannten Funktionen von Microsoft Word ab.
  1022.  
  1023. <Xenixos> verbreitet sich beim Aufruf der Funktion 'DateiSpeichern' und
  1024. 'DateiSpeichernUnter'. Alle Makros sind Execute-Only, d.h. sie können
  1025. weder betrachtet noch modifiziert werden. Dateien mit dem Namen
  1026. "VIRUS.DOT" werden nicht infiziert.
  1027.  
  1028. Während der Infektion prüft der Virus das Systemdatum und führt in
  1029. Abhängigkeit davon verschiedene Schadensfunktionen aus. Falls der
  1030. aktueller Monat Mai ist, fügt der Virus den Text
  1031.  
  1032. "                   @echo j format c: /u > nul                              "
  1033.  
  1034. der Systemdatei C:\AUTOEXEC.BAT an. Beim nächsten Neustart des Systems wird
  1035. dadurch die Festplatte C: formatiert falls der DOS-Befehl FORMAT vorhanden
  1036. ist.
  1037.  
  1038. Im März versucht <Xenixos> über ein Debug-Script den DOS-Virus <Neuroquila>
  1039. ins System einzuschleusen. Wegen eines Fehlers in der Erzeuger-Batchdatei
  1040. (es wird versucht eine .EXE Datei zu erzeugen) wird der <Neuroquila>-Virus
  1041. aber nie aktiviert. Die infizierte EXE-Datei enthält eine unverschüsselte
  1042. Version des Neuroquila.
  1043.  
  1044. Als dritte Schadensfunktion prüft der Virus während der Infektion ob die
  1045. aktuelle Systemuhrzeit einen Sekundenwert von 45 oder höher hat. Ist das
  1046. der Fall setzt der Virus für die gerade gespeicherte Datei das Passwort
  1047. "xenixos".
  1048.  
  1049. Beim Aufruf der Word-Befehle 'DateiDrucken' und 'DateiDruckenStandard' fügt
  1050. <Xenixos> den Text "Nemesis Corp." dem zu druckenden Text hinzu falls die
  1051. aktuelle Systemuhrzeit ein Sekundenwert kleiner als 30 hat.
  1052.  
  1053. Der Virus enthält einige Tricks, die eine Erkennung erschweren sollen.
  1054. Bei jeder Infektion schaltet der Virus die Optionen 'GlobalDOTAbfrage' und
  1055. 'AutoMakrosUnterdrücken' aus und umgeht so mögliche Hinweise von Word das
  1056. NORMAL.DOT verändert werden soll. Desweiteren wird beim Aufruf von des
  1057. Befehls 'ExtrasMakro' lediglich die Meldung
  1058.  
  1059. "              Diese Option ist leider nicht verfügbar.                     "
  1060.  
  1061. angezeigt. Damit wird ein Betrachten der Viren-Makros verhindert.
  1062.  
  1063. Beim Start von Word kopiert der Virus ein Teil seiner Makros unter neuen
  1064. Namen ab (z.B. 'DateiSpeichern' -> 'DateiSpeichernBak'), beim Öffnen von
  1065. Dokumenten werden diese 'Backups' wiederhergestellt. Damit will der Virus
  1066. offenbar verhindern das seine eigenen Makros überschrieben und deaktiviert
  1067. werden.
  1068.  
  1069. Der Virus enthält unter anderen den folgenden Text, der allerdings nicht
  1070. angezeigt wird:
  1071.  
  1072. "           Brought to you by the Nemesis Corporation (c) 1996              "
  1073.  
  1074. Weiterhin prüft <Xenixos>, ob in der Datei WIN.INI in der Sektion
  1075. "Compatibility" die Variable "RR2CD" auf den Wert "0x0020401"
  1076. und die Variable "Diag$" auf den Wert "0" gesetzt ist. Mit der WIN.INI-
  1077. Variable kann man den Virus deaktivieren und eine Infektion des Systems
  1078. verhindern. Die Variable "Diag$" war offenbar zu Debugzwecken gedacht;
  1079. die meisten Schadensfunktionen des Virus werden nicht ausgeführt, wenn
  1080. diese Variable auf den Wert '1' (bzw. generell ungleich '0') gesetzt
  1081. wird.
  1082.  
  1083.  
  1084. Analyse 01.03.1996 (c) Stefan Kurtzhals, Virus Help Munich
  1085. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  1086.  
  1087. -----BEGIN PGP SIGNATURE-----
  1088. Version: 2.6.3i
  1089. Charset: cp850
  1090.  
  1091. iQCVAgUBMcP3fBQJonPBt/hRAQGFSAP+LpOwybsN7Opa98ia7+UpbSnLkeEKCsqp
  1092. ux9ifXZunksJBQDcTDdeHaLyCMi+ufFAkuBs8JA3u7x/M/P0X2/2xZP1Yr8JXNRG
  1093. 22DQHXuS1fZNmCkQbR1hNQYnnMBYt9GhL2fXa4FGKvOrs8yl5Fe8/2fOzCo59YPQ
  1094. vY6S2Hc/oxE=
  1095. =ecTD
  1096. -----END PGP SIGNATURE-----
  1097.