home *** CD-ROM | disk | FTP | other *** search
/ PC Online 1996 October / PCO_10.ISO / filesbbs / fwin.arj / ANALYSEN.RAR / NUCLEAR.TXT < prev    next >
Encoding:
Text File  |  1996-05-14  |  3.3 KB  |  74 lines
  1.  
  2. [ WordMacro.Nuclear ]────────────────────────────────────────────────────────
  3.  
  4. ■ VIRUSNAME:      Nuclear
  5. ■ VIRUSTYP:       Microsoft Word Makro-Virus
  6. ■ INFIZIERT:      Microsoft Word Dokumente und Vorlagen
  7. ■ GROESSE:        10556 Bytes (9 Makros)
  8. ■ SYMPTOME:       Text wird an Dokument beim Drucken angefügt, Systemdateien
  9.                   werden am 5.4. gelöscht.
  10. ■ URSPRUNG:       Australien
  11. ■ REINIGUNG:      Viren-Makros aus infizierten Dokumenten löschen
  12.                   (AutoExec, AutoOpen, DropSuriv, FileExit, FilePrint,
  13.                    FilePrintDefault, FileSaveAs, InsertPayload, Payload)
  14.  
  15. <Nuclear> war nach <Concept> der zweite Makro-Virus, der in Umlauf gebracht
  16. wurde. Im Internet wurde ein Word-Dokument verteilt, das eine Warnung über
  17. den <Concept>-Virus enthielt, gleichzeitig aber mit <Nuclear> infiziert war.
  18. <Nuclear> war der erste Makro-Virus, der Execute-Only (verschlüsselte) Makros
  19. einsetzte, um eine Analyse zu erschweren. Insgesamt besteht der Virus aus neun
  20. Makros mit insgesamt 10556 Bytes Länge:
  21.  
  22. "AutoExec"
  23. "AutoOpen"
  24. "DropSuriv"
  25. "FileExit"
  26. "FilePrint"
  27. "FilePrintDefault"
  28. "FileSaveAs"
  29. "InsertPayload"
  30. "Payload"
  31.  
  32. Über das Makro AutoExec oder AutoOpen wird der Virus aktiviert und kopiert
  33. sich in die globale Vorlage, falls nicht bereits ein Makro mit dem Namen
  34. "AutoExec" vorhanden ist. NORMAL.DOT wird also beim Starten von Word und beim
  35. Öffnen eines infizierten Dokuments verseucht. Ein gesetztes Read-Only-
  36. Attribut kann der Virus allerdings nicht umgehen. Nachdem der Virus seine
  37. Makros in die globale Vorlage übertragen hat, ruft er seine Schadens-
  38. funktionen auf:
  39.  
  40. Von 17:00 bis 17:59 Uhr erzeugt der Virus eine Textdatei mit einem Debug-
  41. Script des DOS/Windows-EXE-Virus <Ph33r> und benutzt "C:\DOS\DEBUG.EXE", um
  42. den Virus in eine lauffähige Form zu bringen. Dazu erzeugt der Virus weiter-
  43. hin eine Batchdatei "EXEC_PH.BAT" und ruft diese mit Shell auf. Allerdings
  44. ist diese Funktion fehlerhaft: Der Virus infiziert keine Datei und das DOS-
  45. Fenster mit dem aktiven Virus wird sofort wieder geschlossen. <Ph33r> wird
  46. also nie ins System eingeschleust.
  47.  
  48. Eine weitere Schadensfunktion wird beim Drucken von Dokumenten aufgerufen.
  49. Falls das Sekundenfeld der aktuellen Systemuhrzeit größer als 55 ist, fügt
  50. der Virus vor dem Drucken am Dokumentende folgende Zeilen hinzu:
  51.  
  52. "                      And finally I would like to say:                     "
  53.  
  54. "              STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC!              "
  55.  
  56. Die dritte Schadensfunktion wird am 5. April ausgelöst. Der Virus löscht dann
  57. die Systemdateien "C:\IO.SYS", "C:\MSDOS.SYS" und "C:\COMMAND.COM".
  58.  
  59. Bei jedem Schließen einer Datei schaltet der Virus die Abfrage von Word ab,
  60. ob eine veränderte NORMAL.DOT wirklich gesichert werden soll. Diese Schutz-
  61. funktion ist also gegen <Nuclear> wirkungslos.
  62.  
  63. <Nuclear> infiziert Dokumente beim Speichern mittels der Funktion
  64. "DateiSpeichernUnter" (FileSaveAs), wobei Dokumente intern in Vorlagen umge-
  65. wandelt werden. Der Virus überprüft nicht, ob ein Dokument bereits infiziert
  66. ist und überschreibt evtl. vorhandene Makros.
  67.  
  68. Da der Virus englische Makronamen wie "FileSaveAs" verwendet, funktioniert er
  69. nicht zusammen mit der deutschen Version von Word.
  70.  
  71.  
  72. Analyse 7.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)
  73. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  74.