home *** CD-ROM | disk | FTP | other *** search
-
- [ WordMacro.Boom ]───────────────────────────────────────────────────────────
-
- ■ VIRUSNAME: Boom
- ■ VIRUSTYP: Microsoft Word Makro-Virus
- ■ INFIZIERT: Microsoft Word Dokumente und Vorlagen
- ■ SYMPTOME: Schadensfunktion wird um 13:13:13 Uhr an jedem 13. des
- Monats ab Februar 1996 ausgelöst:
- Die Menüstruktur von Word wird umbenannt, eine neue
- NORMAL.DOT-Textvorlage mit Text erzeugt und ausgedruckt.
- ■ REINIGUNG: Viren-Makros aus infizierten Dokumenten löschen
- (AutoOpen, AutoExec, DateiSpeichernUnter, System)
-
- Neben <Xenixos> ist <Boom> bereits der zweite Makro-Virus, der speziell für
- die deutsche Version von Microsoft Word geschrieben wurde. <Boom> unter-
- scheidet sich in einigen Details von den anderen Makro-Viren und ist keine
- Variante eines bekannten Makro-Virus. <Boom> funktioniert nicht mit anders-
- sprachigen Versionen von Word (bzw. wird nur NORMAL.DOT infiziert).
-
- Der Virus besteht aus vier Makros, die verschlüsselt (Execute-Only)
- vorliegen:
-
- "AutoOpen"
- "AutoExec"
- "DateiSpeichernUnter"
- "System"
-
- Im Makro "AutoOpen" ist die Infektionssroutine für die globale Makro-Vorlage
- NORMAL.DOT vorhanden. Wird also ein infiziertes Dokument geöffnet, wird
- sofort NORMAL.DOT verseucht. Dabei verwendet <Boom> nicht, wie bisher üblich,
- den WordBasic-Befehl "KopiereMakro" sondern "Organisiere.Kopiere". Vor dem
- Übertragen der Makros wird die Schnellspeicher-Option eingeschaltet. Des-
- weiteren umgeht der Virus die Abfrage von Word, ob eine modifizierte
- NORMAL.DOT wirklich gesichert werden soll.
-
- Dokumente werden beim Zugriff über den Befehl "DateiSpeichernUnter"
- infiziert. Dabei wird das Dokument intern in eine Makro-Vorlage umgewandelt.
- Vorlagen, die das Makro "System" enthalten, gelten für <Boom> als bereits
- infiziert. Auch hier wird wieder die Schnellspeicher-Option eingeschaltet
- und die NORMAL.DOT-Abfrage umgangen.
-
- Das Makro "AutoExec", das bei jedem Start von Word automatisch aufgerufen
- wird, enthält eine Zeitabfrage, die beim Erreichen der Uhrzeit 13:13:13
- (jeden 13. ab Februar 1996) das Makro "System" aufruft. "System" enhält dann
- die eigentliche Schadensfunktion. Das Makro "AutoExec" wird ebenfalls von den
- Virus-Makros "AutoOpen" und "DateiSpeichernUnter" beim Öffnen und Speichern
- von Dokumenten aufgerufen.
-
- Als Schadensfunktion benennt der Virus die Menüstruktur von Word um:
-
- Datei -> Mr.Boombastic
- Bearbeiten -> and
- Ansicht -> Sir WIXALOT
- Einfügen -> are
- Format -> watching
- Extras -> you
- Tabelle -> !
- Fenster -> !
- Hilfe -> !
-
- Zwischen den einzelnen Umbenennungsbefehlen fügt der Virus Pausen ein und
- erzeugt jeweils einen Ton über den PC-Lautsprecher. Nachdem die Menünamen
- umbenannt wurden, erzeugt <Boom> eine neue globale Text-Vorlage NORMAL.DOT
- und fügt dort die folgenden Texte ein:
-
- " Greetings from Mr. Boombastic and Sir WIXALOT !!! "
-
- " Oskar L., wir kriegen dich !!! "
-
- " Dies ist eine Initiative des Institutes zur Vermeidung und Verbreitung von"
- " Peinlichkeiten, durch in der Öffentlichkeit stehende Personen, unter der "
- " Schirmherrschaft von Rudi S. ! "
-
- Dieser Text wird vom Virus ausgedruckt.
-
- <Boom> enthält noch weitere Texte, z.B.:
-
- " Mr. Boombastic and Sir WIXALOT !!! "
-
- Einige weitere Schadensfunktionen wurden durch REM's in Kommentare umge-
- wandelt und damit deaktiviert. Darin sollten z.B. die Dateien AUTOEXEC.BAT,
- CONFIG.SYS und COMMAND.COM umbenannt werden.
-
-
- Analyse 25.04.1996 (c) Stefan Kurtzhals (VHM) für
- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- Computer Virus Research Lab Germany
- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
-
-
