home *** CD-ROM | disk | FTP | other *** search
-
- [ WordMacro.Polite ]─────────────────────────────────────────────────────────
-
- ■ VIRUSNAME: Polite, WW2DEMO
- ■ VIRUSTYP: Microsoft Word Makro-Virus
- ■ INFIZIERT: Microsoft Word Dokumente und Vorlagen
- ■ GROESSE: 1918 Bytes (2 Makros)
- ■ SYMPTOME: Anzeige von Textfenstern
- ■ REINIGUNG: Viren-Makros aus infizierten Dokumenten löschen
- (FileClose, FileSaveAs)
-
- <Polite> kann bestenfalls als Demonstrationsvirus bezeichnet werden, da eine
- ungewollte Verbreitung sehr unwahrscheinlich ist: Der Virus meldet bei jedem
- Versuch, eine Datei zu infizieren, ein Fenster mit der Frage:
-
- " Shall I infect the file ? "
-
- an (Polite = Höflich). Betätigt der Anwender den "Nein"-Button, wird das
- Dokument nicht infiziert. Beim Infizieren von NORMAl.DOT zeigt der Virus den
- folgenden Text an (Fenster: "Activization"):
-
- " I am alive! "
-
- "FileClose"
- "FileSaveAs"
-
- Der Virus besteht aus zwei unverschlüsselten Makros mit insgesamt 1918 Bytes
- Länge. Ursprünglich wurde der Virus mit Microsoft Word 2.0 erstellt, da Word
- 6.0 oder 7.0 aber die alten Makros übernehmen können, werden auch Word 6.0
- und 7.0 Dokumente infiziert. Ist der Virus jedoch ersteinmal nach Word 6.0
- konvertiert, kann er keine Word 2.0 Dokumente mehr infizieren.
-
- NORMAL.DOT wird beim Schließen eines infizierten Dokuments infiziert, aller-
- dingsn nur, wenn kein Makro mit dem Namen "FileClose" vorhanden ist.
- Weitere Dokumente werden beim Aufruf von "DateiSpeichernUnter" infiziert.
-
- Da der Virus keine Auto-Makros benutzt, kann er nicht durch den Befehl
- "AutoMakrosUnterdrücken" bzw. durch den Parameter /M blockiert werden.
-
- <Polite> benutzt die englischen Makronamen "FileSaveAs" sowie "FileClose"
- und funktioniert daher nicht mit der deutschen Version von Word.
-
-
- Analyse 4.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)
- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
-
-
