DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.MSWord.Magnum

Kategorie Virus
Plattform MSWord
Beschreibung

Technische Details

Dieser verschlüsselte Makrovirus enthält drei Makros: Magnum, ToolsMacro, ExtrasMakro. Der Virus hat kein Auto-Makro, aber er erhält die Kontrolle auf andere Weise. Beim Infizieren eines Dokuments oder eines globalen Makrobereichs kopiert der Virus seine Makros dorthin und weist dem SPACE-Schlüssel das Makro "Magnum" zu. MS Word speichert solche Informationen und stellt sie beim Laden globaler Makros oder beim Öffnen eines infizierten Dokuments wieder her.

Wenn MS Word ein infiziertes Dokument öffnet oder globale Makros lädt, legt es als eine Routine "Magnum" Makro als Routine fest, die auf SPACE-Tastenanschlag ausgeführt wird.

Nach der Infektion globaler Makros zeigt der Virus ein Meldungsfeld mit folgendem Text an:


MaGnUm
Die Makros ToolsMacro und ExtrasMakro sind dazu da, den Virus im System zu verstecken – bei der Auswahl von Tool / Makro zeigt der Virus ein Dummy-Menü an, das auf jedem Objekt (außer CANCEL) die folgenden Fehlermeldungen anzeigt:

WordBasic Err = 7
Nicht genug Speicher!
WordBasic Err = 7
Nicht genügend Arbeitsspeicher!
Der Virus löscht den DOS-Virus "HLLO.Havoc", indem er den Trick mit dem DEBUG-Dienstprogramm verwendet – schreibt den hexadezimalen Virus-Dump auf den Datenträger und führt DEBUG aus, um ihn in die ausführbare DOS-Datei HTC.COM zu konvertieren. Dann hängt der Virus an das Ende der C: AUTOEXEC.BAT-Datei die Befehle an:

@echo aus
htc.com
cls
und dann erstellt und schreibt das Systemprofil (WIN.INI) den Text:

[DosVirus]
Installiert = Ja
Am 13. April erstellt es die NORMAL.DOT-Datei und schreibt die Zeichenfolgen dorthin:

Schon mal im Mondlicht mit dem Teufel getanzt?
;-))
Der Magnum-Virus! NJ 1996


Link zum Original