home *** CD-ROM | disk | FTP | other *** search
/ PC Online 1996 October / PCO_10.ISO / filesbbs / fwin.arj / ANALYSEN.RAR / XENIXOS.TXT < prev   
Encoding:
Text File  |  1996-05-12  |  4.7 KB  |  111 lines
  1.  
  2. [ WordMacro.Xenixos ]────────────────────────────────────────────────────────
  3.  
  4. ■ VIRUSNAME:      Xenixos, Nemesis, Xos
  5. ■ VIRUSTYP:       Microsoft Word Makro-Virus
  6. ■ INFIZIERT:      Microsoft Word Dokumente und Vorlagen
  7. ■ SYMPTOME:       Text wird zu gedruckten Dokumenten hinzugefügt,
  8.                   Formatierung des Laufwerks C:, Veränderungen von
  9.                   AUTOEXEC.BAT, 'ExtrasMakro' funktioniert nicht
  10. ■ REINIGUNG:      Viren-Makros aus infizierten Dokumenten löschen
  11.  
  12.  
  13. <Xenixos> ist einer der ersten Makro-Viren, die speziell für die deutsche
  14. Version von Microsoft Word geschrieben wurden. Alle Texte im Viruscode und
  15. alle verwendeten Makronamen sind in deutscher Sprache, daher funktioniert der
  16. Virus nicht mit anderssprachigen Versionen von Word. Ursprünglich wurde der
  17. Virus in Österreich entdeckt, ein infiziertes Dokument mit einer angeblichen
  18. Viruswarnung wurde aber auch in das Forum ALT.COMP.VIRUS gepostet.
  19.  
  20. Der Virus enthält folgende Makros, die über den Befehl Datei/Makros/
  21. Organisieren in infizierten Dokumenten gefunden werden können:
  22.  
  23. "AutoExec"
  24. "AutoOpen"
  25. "DateiBeenden"
  26. "DateiDrucken"
  27. "DateiDruckenStandard"
  28. "DateiÖffnen"
  29. "DateiSpeichern"
  30. "DateiSpeichernUnter"
  31. "Drop"
  32. "Dummy"
  33. "ExtrasMakro"
  34.  
  35. Die infizierte Datei NORMAL.DOT enthält noch weitere Makros:
  36.  
  37. "AutoClose"
  38. "AutoExit"
  39. "AutoNew"
  40.  
  41. Diese enthalten aber nur das leere Makro "Dummy".
  42.  
  43. Wird ein infiziertes Dokument geöffnet, kopiert sich der Virus in die
  44. globale Makrovorlage NORMAL.DOT; allerdings nur, wenn das Makro 'Datei-
  45. SpeichernUnter' noch nicht vorhanden ist. Danach ist der Virus voll
  46. aktiviert und fängt die oben genannten Funktionen von Microsoft Word ab.
  47.  
  48. <Xenixos> verbreitet sich beim Aufruf der Funktion 'DateiSpeichern' und
  49. 'DateiSpeichernUnter'. Alle Makros sind Execute-Only, d.h. sie können
  50. weder betrachtet noch modifiziert werden. Dateien mit dem Namen
  51. "VIRUS.DOT" werden nicht infiziert.
  52.  
  53. Während der Infektion prüft der Virus das Systemdatum und führt in
  54. Abhängigkeit davon verschiedene Schadensfunktionen aus. Falls der
  55. aktuelle Monat Mai ist, fügt der Virus den Text
  56.  
  57. "                   @echo j format c: /u > nul                              "
  58.  
  59. der Systemdatei C:\AUTOEXEC.BAT an. Beim nächsten Neustart des Systems wird
  60. dadurch die Festplatte C: formatiert falls der DOS-Befehl FORMAT vorhanden
  61. ist.
  62.  
  63. Im März versucht <Xenixos> über ein Debug-Script den DOS-Virus <Neuroquila>
  64. ins System einzuschleusen. Wegen eines Fehlers in der Erzeuger-Batchdatei
  65. (es wird versucht, eine .EXE Datei zu erzeugen) wird der <Neuroquila>-Virus
  66. aber nie aktiviert. Die infizierte EXE-Datei enthält eine unverschüsselte
  67. Version des Neuroquila.
  68.  
  69. Als dritte Schadensfunktion prüft der Virus während der Infektion, ob die
  70. aktuelle Systemuhrzeit einen Sekundenwert von 45 oder höher hat. Ist das
  71. der Fall, setzt der Virus für die gerade gespeicherte Datei das Passwort
  72. "xenixos".
  73.  
  74. Beim Aufruf der Word-Befehle 'DateiDrucken' und 'DateiDruckenStandard' fügt
  75. <Xenixos> den Text "Nemesis Corp." dem zu druckenden Text hinzu, falls die
  76. aktuelle Systemuhrzeit einen Sekundenwert kleiner als 30 hat.
  77.  
  78. Der Virus enthält einige Tricks, die eine Erkennung erschweren sollen.
  79. Bei jeder Infektion schaltet der Virus die Optionen 'GlobalDOTAbfrage' und
  80. 'AutoMakrosUnterdrücken' aus und umgeht so mögliche Hinweise von Word, daß
  81. NORMAL.DOT verändert werden soll. Desweiteren wird beim Aufruf des Befehls 
  82. 'ExtrasMakro' lediglich die Meldung
  83.  
  84. "              Diese Option ist leider nicht verfügbar.                     "
  85.  
  86. angezeigt. Damit wird ein Betrachten der Viren-Makros verhindert.
  87.  
  88. Beim Start von Word kopiert der Virus einen Teil seiner Makros unter neuen
  89. Namen ab (z.B. 'DateiSpeichern' -> 'DateiSpeichernBak'), beim Öffnen von
  90. Dokumenten werden diese 'Backups' wiederhergestellt. Damit will der Virus
  91. offenbar verhindern, daß seine eigenen Makros überschrieben und deaktiviert
  92. werden.
  93.  
  94. Der Virus enthält unter anderen den folgenden Text, der allerdings nicht
  95. angezeigt wird:
  96.  
  97. "           Brought to you by the Nemesis Corporation (c) 1996              "
  98.  
  99. Weiterhin prüft <Xenixos>, ob in der Datei WIN.INI in der Sektion
  100. "Compatibility" die Variable "RR2CD" auf den Wert "0x0020401"
  101. und die Variable "Diag$" auf den Wert "0" gesetzt ist. Mit der WIN.INI-
  102. Variable kann man den Virus deaktivieren und eine Infektion des Systems
  103. verhindern. Die Variable "Diag$" war offenbar zu Debugzwecken gedacht;
  104. die meisten Schadensfunktionen des Virus werden nicht ausgeführt, wenn
  105. diese Variable auf den Wert '1' (bzw. generell ungleich '0') gesetzt
  106. wird.
  107.  
  108.  
  109. Analyse 01.03.1996 (c) Stefan Kurtzhals, Virus Help Munich
  110. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  111.