home *** CD-ROM | disk | FTP | other *** search
-
- [ WordMacro.Trojan.Wieder ]──────────────────────────────────────────────────
-
- ■ VIRUSNAME: Wieder, Wiederoeffnen, Pferd
- ■ VIRUSTYP: Microsoft Word (2.0) Makro-Trojan
- ■ INFIZIERT: ---
- ■ GROESSE: 638 Bytes (2 Makros)
- ■ SYMPTOME: C:\AUTOEXEC.BAT wird verschoben
- ■ REINIGUNG: Viren-Makro aus infizierten Dokumenten löschen
- (AutoOpen, AutoClose)
-
- <Wieder> ist kein Virus sondern ein Trojanisches Pferd, da es nur Schaden
- anrichtet und sich nicht ausbreiten kann. Folgende unverschlüsselte Makros
- sind im infizierten Dokument vorhanden:
-
- "AutoClose"
- "AutoOpen"
-
- Öffnet man das infizierte Dokument, erzeugt der Virus das Verzeichnis
- "C:\TROJA" und verschiebt die Systemdatei "C:\AUTOEXEC.BAT" in das neu
- erzeugte Verzeichnis. Anschließend wird das Original im Pfad "C:\" gelöscht.
-
- Schließt man das infizierte Dokument wieder, wird folgender Text angezeigt:
-
- "Auf Wiederöffnen"
-
- "P.S.: Falls Sie Ihre AUTOEXEC.BAT - Datei"
- "gerne wiederhaben möchten, sollten Sie einen"
- "Blick in das neue Verzeichnis C:\TROJA werfen..."
-
- Das Word 2.0-Dokument, welches das Trojanische Pferd enthält, besteht aus dem
- folgenden Text:
-
- " Trojanisches Pferd "
-
- " Wenn Sie diese Zeilen lesen, wurde bereits Ihre AUTOEXEC.BAT-Datei aus dem"
- " Hauptverzeichnis C:\ entfernt. Hoffentlich haben Sie ein Kopie davon ? "
-
- " Genauso einfach wäre es gewesen, Ihre Festplatte zu löschen und mit ein "
- " klein wenig mehr Aufwand könnte man auch einen Virus installieren. "
-
-
-
- Analyse 4.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)
- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
-
-
