Kaspersky Threats

Kategorie

Plattform

Beschreibung

Technische Details

Dieser verschlüsselte Makrovirus enthält drei Makros: Magnum, ToolsMacro, ExtrasMakro. Der Virus hat kein Auto-Makro, aber er erhält die Kontrolle auf andere Weise. Beim Infizieren eines Dokuments oder eines globalen Makrobereichs kopiert der Virus seine Makros dorthin und weist dem SPACE-Schlüssel das Makro "Magnum" zu. MS Word speichert solche Informationen und stellt sie beim Laden globaler Makros oder beim Öffnen eines infizierten Dokuments wieder her.

Wenn MS Word ein infiziertes Dokument öffnet oder globale Makros lädt, legt es als eine Routine "Magnum" Makro als Routine fest, die auf SPACE-Tastenanschlag ausgeführt wird.

Nach der Infektion globaler Makros zeigt der Virus ein Meldungsfeld mit folgendem Text an:



MaGnUm

Die Makros ToolsMacro und ExtrasMakro sind dazu da, den Virus im System zu verstecken – bei der Auswahl von Tool / Makro zeigt der Virus ein Dummy-Menü an, das auf jedem Objekt (außer CANCEL) die folgenden Fehlermeldungen anzeigt:



WordBasic Err = 7

Nicht genug Speicher!

WordBasic Err = 7

Nicht genügend Arbeitsspeicher!

Der Virus löscht den DOS-Virus "HLLO.Havoc", indem er den Trick mit dem DEBUG-Dienstprogramm verwendet – schreibt den hexadezimalen Virus-Dump auf den Datenträger und führt DEBUG aus, um ihn in die ausführbare DOS-Datei HTC.COM zu konvertieren. Dann hängt der Virus an das Ende der C: AUTOEXEC.BAT-Datei die Befehle an:



@echo aus

htc.com

cls

und dann erstellt und schreibt das Systemprofil (WIN.INI) den Text:



[DosVirus]

Installiert = Ja

Am 13. April erstellt es die NORMAL.DOT-Datei und schreibt die Zeichenfolgen dorthin:



Schon mal im Mondlicht mit dem Teufel getanzt?

;-))

Der Magnum-Virus! NJ 1996

Link zum Original

Kategorie	Virus
Plattform	MSWord
Beschreibung	Technische Details Dieser verschlüsselte Makrovirus enthält drei Makros: Magnum, ToolsMacro, ExtrasMakro. Der Virus hat kein Auto-Makro, aber er erhält die Kontrolle auf andere Weise. Beim Infizieren eines Dokuments oder eines globalen Makrobereichs kopiert der Virus seine Makros dorthin und weist dem SPACE-Schlüssel das Makro "Magnum" zu. MS Word speichert solche Informationen und stellt sie beim Laden globaler Makros oder beim Öffnen eines infizierten Dokuments wieder her. Wenn MS Word ein infiziertes Dokument öffnet oder globale Makros lädt, legt es als eine Routine "Magnum" Makro als Routine fest, die auf SPACE-Tastenanschlag ausgeführt wird. Nach der Infektion globaler Makros zeigt der Virus ein Meldungsfeld mit folgendem Text an: MaGnUm Die Makros ToolsMacro und ExtrasMakro sind dazu da, den Virus im System zu verstecken – bei der Auswahl von Tool / Makro zeigt der Virus ein Dummy-Menü an, das auf jedem Objekt (außer CANCEL) die folgenden Fehlermeldungen anzeigt: WordBasic Err = 7 Nicht genug Speicher! WordBasic Err = 7 Nicht genügend Arbeitsspeicher! Der Virus löscht den DOS-Virus "HLLO.Havoc", indem er den Trick mit dem DEBUG-Dienstprogramm verwendet – schreibt den hexadezimalen Virus-Dump auf den Datenträger und führt DEBUG aus, um ihn in die ausführbare DOS-Datei HTC.COM zu konvertieren. Dann hängt der Virus an das Ende der C: AUTOEXEC.BAT-Datei die Befehle an: @echo aus htc.com cls und dann erstellt und schreibt das Systemprofil (WIN.INI) den Text: [DosVirus] Installiert = Ja Am 13. April erstellt es die NORMAL.DOT-Datei und schreibt die Zeichenfolgen dorthin: Schon mal im Mondlicht mit dem Teufel getanzt? ;-)) Der Magnum-Virus! NJ 1996
	Link zum Original

Virus.MSWord.Magnum

Technische Details