DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.MSWord.Antimarc

Kategorie Virus
Plattform MSWord
Beschreibung

Technische Details

Dieser Virus infiziert Word97-Dokumente und verbreitet sich über globale elektronische Kanäle: Chat-net mIRC und MS Outlook Express. Dies ist der erste bekannte Makrovirus, der mIRC und Outlook verwendet, um Infektionen zu verbreiten. Der Virus enthält die Kommentare:


W97M / antiMARC von Lord Natas [Codebreakers 98]
mit besonderem Dank an Rhape79
"Wir sind nur die Spielzeuge in den Händen eines anderen"
Der Viruscode enthält 15 Makros in einem Modul "Antimarc": antiMARC, mIRCDropper, OE, Delay, AutoClose, AutoExec, AutoOpen, FileClose, FileExit, FileSave, FileSaveAs, ToolsMacro, FileTemplates, ViewVBCode, FormatStyle.

Das antiMARC-Makro ist das Hauptvirenmakro. Andere sind Do-nothing (AutoExec), oder rufen Sie dieses Makro, um Word97-Dokumente zu infizieren. Das mIRCDropper-Makro sendet die infizierten Dokumente an chat-network, das OE-Makro sendet die infizierte Nachricht mit Outlook Express.

Der Virus repliziert in der Word-Umgebung beim Aktivieren eines beliebigen Auto-Makros außer AutoExec, dh der Virus infiziert den globalen Makrobereich und die Dokumente beim Öffnen, Schließen, Speichern, Speichern mit neuem Namen, beim Eingeben der Werkzeuge / Makro, Datei / Vorlagen und andere Menüs. Um seinen Code zu kopieren, verwendet der Virus Export- / Importfunktionen über die Datei SYSTEMMICROSOF.386, die im Windows-Verzeichnis erstellt wird.

Abhängig vom System-Random Counter führt der Virus auch seine Chat- und Outlook-Spreizroutinen aus. Beim Senden der Kopie an den Chat verwendet der Virus das Dienstprogramm MIRC32.EXE. Es deaktiviert mIRC Warnmeldungen in der System-MIRC C: MIRCMIRC.INI-Datei, erstellt die infizierte Datei C: WINDOWSXXXPASSWORDS.DOC und das Skript C: MIRCSCRIPT.INI.

Die Virenskriptdatei enthält die Anweisungen, die die infizierte XXXPASSWORDS.DOC-Datei an alle Benutzer senden, die dem Chat beitreten. Wenn eine Nachricht mit dem Teilstring "marcsux" vorhanden ist, sendet der Virus an den Host dieser Nachricht den Text: "# gotinfected777 X". Der Virus sendet die Nachricht auch an den Chat:


MARC FUCK YOU FaScISt
Warblade STILL SUCKING MARC's COCK? Wie geht es dir?
Super Hey M0therfux0r, schieb X / W deinen fetten Pickel-bedeckten Arsch hoch!
super 'Wir unterstützen nicht die Verteilung von virii' – ich schätze du machst es jetzt, Schlampe!
# gotinfected777 Tritt mich! – Ich bin Infected!
Während er sich selbst mit MS Outlook Express versendet, erstellt der Virus auf dem Laufwerk C: zufällig eine infizierte Datei, wählt die 20. Adresse im Adressbuch, erstellt eine neue Nachricht, füllt sie mit zufälligen Buchstaben, hängt die infizierte Datei an und fügt die Fußzeile hinzu:

J97Z / nagvZNEP ol Ybeq Angnf [Pbqroernxref 98]
Dieser Vorgang ist nicht sprachunabhängig und funktioniert nur in der deutschen Version von Outlook Express.


Link zum Original