home *** CD-ROM | disk | FTP | other *** search
/ PC Online 1996 December / PCO1296.ISO / filesbbs / dos / fwin.arj / ANALYSEN.RAR / FRIENDLY.TXT < prev    next >
Encoding:
Text File  |  1996-05-12  |  4.6 KB  |  121 lines
  1.  
  2. [ WordMacro.Friendly ]───────────────────────────────────────────────────────
  3.  
  4. ■ VIRUSNAME:      Friendly
  5. ■ VIRUSTYP:       Microsoft Word Makro-Virus
  6. ■ INFIZIERT:      Microsoft Word Dokumente und Vorlagen
  7. ■ GROESSE:        9867 Bytes (20 Makros)
  8. ■ SYMPTOME:       Anzeige von Texten, Aktivierung eines DOS-Virus
  9. ■ REINIGUNG:      Viren-Makros aus infizierten Dokumenten löschen
  10.  
  11. <Friendly> stammt offenbar vom Autor des Makro-Virus <LBYNJ>, da auch in
  12. diesem Virus eine Referenz auf "Nightmare Joker" vorhanden ist. <Friendly>
  13. ist ein umfangreicher Makro-Virus und besteht aus 20 Makros:
  14.  
  15. "Abbrechen"
  16. "AutoExec"
  17. "AutoOpen"
  18. "Cancel"
  19. "DateiBeenden"
  20. "DateiNeu
  21. "DateiÖffnen"
  22. "DateiSchließen"
  23. "DateiSpeichern"
  24. "DateiSpeichernUnter"
  25. "ExtrasMacro"
  26. "ExtrasMakro"
  27. "Fast"
  28. "FileExit"
  29. "FileNew"
  30. "FileOpen"
  31. "FileSave"
  32. "FileSaveAs"
  33. "Infizieren"
  34. "Talk"
  35.  
  36. Es wurde der Versuch gemacht, einen mehrsprachigen Virus zu schreiben, alle
  37. Makronamen wurden übersetzt und intern englische Makrobefehle benutzt. Der
  38. Virus erkennt anhand der Währungseinstellung (DM), ob er mit der deutschen
  39. Version von Word aufgerufen wurde. Dem Autor lag aber offenbar nicht die
  40. englische Version von Word vor, einige Makronamen wurden falsch übersetzt
  41. (ExtrasMacro anstatt ToolsMacro). <Friendly> funktioniert daher nicht mit
  42. anderssprachigen Versionen von Word.
  43.  
  44. Der Virus wird beim Öffnen eines infizierten Dokuments oder beim Starten von
  45. Word aktiviert und versucht, die globale Vorlage NORMAL.DOT zu infizieren.
  46. Anhand des Eintrags "[Friends]", "Author = Nightmare Joker" erkennt
  47. <Friendly>, ob die Vorlage bereits infiziert ist. Nachdem die Makros über-
  48. tragen wurden, ruft der Virus die Schadensfunktion im Makro "Fast" auf.
  49.  
  50. <Friendly> infiziert weitere Dokumente beim Abbrechen von Aktionen, Beenden
  51. von Word, Erstellen neuer Dokumente und beim Öffnen, Schließen oder Speichern
  52. von Dokumenten. Wie bei Makro-Viren üblich, wird das infizierte Dokument
  53. intern in eine Vorlage umgewandelt. Der Virus prüft nicht, ob ein Dokument
  54. bereits infiziert ist und überschreibt bereits bestehende Makros.
  55. Nach der Infektion ruft <Friendly> sein Makro "Talk" auf.
  56.  
  57. Die Schadensfunktion im Makro "Fast" wird ausgelöst, falls die Systemuhrzeit
  58. ein Sekundenfeld von kleiner gleich 2 hat. Der Virus erzeugt dann im C:\DOS-
  59. Verzeichnis ein Debugscript und wandelt es mittels des DOS-Befehls DEBUG.EXE
  60. in eine ausführbare Datei um. <Friendly> fügt einen Eintrag ans Ende der
  61. AUTOEXEC.BAT an, damit der erzeugte DOS-Virus beim nächsten Systemstart
  62. aktiviert wird. Der in <Friendly> enthaltene DOS-Virus ist ein speicher-
  63. residenter 395 Bytes großer Companion-Virus, der mit CryptCOM verschlüsselt
  64. wurde. Dieser Virus zeigt am 1.1. den Text
  65.  
  66. "                            Ein gutes neues Jahr !                         "
  67.  
  68. an und infiziert EXE-Programme beim Starten, indem gleichnamige COM-Dateien
  69. erzeugt werden, welche das READ-ONLY und HIDDEN-Attribut gesetzt haben.
  70.  
  71. Ist der Virus aktiv, wird beim Versuch, die Makro-Liste anzuzeigen, nur der
  72. Text
  73.  
  74. "You can't do that!"
  75. "I'm very anxious!"
  76. "Hello my friend!"
  77. "<< Friends >> Virus"
  78.  
  79. bzw.
  80.  
  81. "Du kannst das nicht tun!"
  82. "Ich bin sehr ängstlich!"
  83. "Hallo mein Freund!"
  84. "<< Friends >> Virus"
  85.  
  86. angezeigt.
  87.  
  88. Ab dem 1.5.1996 zeigt der Virus beim ersten Infizieren eines Dokuments
  89. (außer NORMAL.DOT) den folgenden Text an (Aufruf des Makros "Talk"):
  90.  
  91. "Hallo mein Freund!"
  92. "Ich bin der << Friends >> Virus und wie heißt du?"
  93. "Gib doch bitte anschließend unten deinen Namen ein:"
  94. "Also ..... ich habe eine gute und eine schlechte Nachricht für dich!"
  95. "Die schlechte Nachricht ist, daß ich mich auf deiner Platte eingenistet"
  96. "habe und die gute ist, daß ich aber ein freundlicher und auch nützlicher"
  97. "Virus bin. Drücke bitte OK für Weiter!"
  98.  
  99. "Wenn du mich nicht killst, dann füge ich ein Programm in deine"
  100. "Autoexec.bat ein, daß deine lame Tastatur etwas auf Touren bringt."
  101. "Also ...., gib dir einen Ruck und kill mich nicht. Goodbye!"
  102.  
  103. bzw.
  104.  
  105. "Hello my Friend!"
  106. "I'm the << Friends >> Virus and how are you?"
  107. "Can you give me your name, please?"
  108. "Hello .... I have a good and a bad message for you! The bad message is that"
  109. "you have now a Virus on your Harddisk and the good message is that I'm
  110. "harmless and useful. Press OK!"
  111.  
  112. "If you don't kill me, I will insert a programme in your AutoExec.bat thats
  113. "your Keyboard accelerated. Please .... don't kill me. Goodbye!"
  114.  
  115. wobei der jeweils eingegebene Name angezeigt wird. Diese Texte werden jedoch
  116. nur ein einziges Mal angezeigt.
  117.  
  118.  
  119. Analyse 11.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)
  120. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  121.