home *** CD-ROM | disk | FTP | other *** search
/ PC Online 1996 October / PCO_10.ISO / filesbbs / fwin.arj / ANALYSEN.RAR / HOT.TXT < prev    next >
Encoding:
Text File  |  1996-05-12  |  2.1 KB  |  48 lines
  1.  
  2. [ WordMacro.Hot ]────────────────────────────────────────────────────────────
  3.  
  4. ■ VIRUSNAME:      Hot
  5. ■ VIRUSTYP:       Microsoft Word Makro-Virus
  6. ■ INFIZIERT:      Microsoft Word Dokumente und Vorlagen
  7. ■ GROESSE:        5515 Bytes (4 Makros)
  8. ■ SYMPTOME:       Textinhalt von Dokumenten wird gelöscht
  9. ■ REINIGUNG:      Viren-Makros aus infizierten Dokumenten löschen
  10.                   (AutoOpen, DrawBringInFrOut, InsertPBreak, ToolsRepaginat,
  11.                    FileSaveAs, StartOfDoc)
  12.  
  13. <Hot> ist ein komplexer Virus, der aus 4 verschüsselten Makros besteht. Er
  14. wird durch Ausführen des Makros "AutoOpen" beim Öffnen eines infizierten
  15. Dokuments aktiv. Zunächst wird die Abfrage von Word bei Veränderung von
  16. NORMAL.DOT abgeschaltet, damit sich der Virus ungestört in die globale Makro-
  17. Vorlage kopieren kann. <Hot> prüft, ob in der Datei "WINWORD6.INI" ein
  18. Eintrag "QLHot" vorhanden ist. Hier fügt der Virus ein Datum ein, das 14 Tage
  19. nach dem Tag liegt, an dem die globale Vorlage infiziert wurde. Ist diese
  20. Variable noch nicht gesetzt, versucht <Hot> NORMAL.DOT zu infizieren.
  21. Der Infektionsvorgang wird abgebrochen, falls bereits eines der Virenmakros
  22. vorhanden ist. Die Makros werden mit dem WordBasic-Befehl "MakroKopieren"
  23. übertragen, wobei einige der Makros dabei umbenannt werden:
  24.  
  25. "AutoOpen"
  26. "DrawBringInFrOut"
  27. "InsertPBreak"
  28. "ToolsRepaginat"
  29.  
  30. Folgende Makros sind zusätzlich in der infizierten NORMAL.DOT vorhanden:
  31.  
  32. "FileSave" (entspricht "ToolsRepaginat")
  33. "StartOfDoc" (entspricht "AutoOpen")
  34.  
  35. Interessant ist, daß <Hot> spezielle Funktionen aus der Windows-Datei
  36. "KERNEL.EXE" benutzt (Win API). Diese Schnittstelle bietet eine sehr große
  37. Anzahl von Funktionen an, <Hot> benutzt lediglich die API, um den Pfad von
  38. Windows festzustellen und um Dateien zu öffnen.
  39.  
  40. Die Schadensfunktion wird kurz nach dem Erreichen des unter "QLHot" festge-
  41. legten Datums ausgelöst, wobei der Text des gerade aktiven Dokuments ge-
  42. lösocht wird. Falls die Datei "C:\DOS\EGA5.CPI" vorhanden ist, überspringt
  43. <Hot> die Schadensfunktion.
  44.  
  45.  
  46. Analyse 7.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)
  47. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  48.