Virusname | Boom |
Virustyp | Microsoft Word Makro-Virus |
Infiziert | Microsoft Word Dokumente und Vorlangen |
Symptome | Schdensfunktion wird um 13:13:13 Uhr an jedem 13. des Monats ab Februar 1996 ausgelöst: Die Menüstruktur wird umbenannt, eine neue NORMAL.DOT-Textvorlage mit Text erzeugt und ausgedruckt |
Reinigung | Viren-Makros aus infizierten Dokumenten löschen (AutoOpen, AutoExec, DateiSpeichernUnter, System) |
Neben Xenixos ist Boom bereits der zweite Makro-Virus, der speziell für die deutsche Version von Microsoft Word geschrieben wurde. Boom unterscheidet sich in einigen Details von den anderen Makro-Viren und ist keine Variante eines bekannten Makro-Virus. Boom funktioniert nicht mit anders- sprachigen Versionen von Word (bzw. es wird nur NORMAL.DOT infiziert).
Der Virus besteht aus vier Makros, die verschlüsselt (Execute-Only)
vorliegen:
"AutoOpen"
"AutoExec"
"DateiSpeichernUnter"
"System"
Im Makro "AutoOpen" ist die Infektionssroutine für die globale Makro-Vorlage NORMAL.DOT vorhanden. Wird also ein infiziertes Dokument geöffnet, wird sofort NORMAL.DOT verseucht. Dabei verwendet Boom nicht, wie bisher üblich, den WordBasic-Befehl "KopiereMakro" sondern "Organisiere.Kopiere". Vor dem Übertragen der Makros wird die Schnellspeicher-Option eingeschaltet. Desweiteren umgeht der Virus die Abfrage von Word, ob eine modifizierte NORMAL.DOT wirklich gesichert werden soll.
Dokumente werden beim Zugriff über den Befehl "DateiSpeichernUnter" infiziert. Dabei wird das Dokument intern in eine Makro-Vorlage umgewandelt. Vorlagen, die das Makro "System" enthalten, gelten für Boom als bereits infiziert. Auch hier wird wieder die Schnellspeicher-Option eingeschaltet und die NORMAL.DOT-Abfrage umgangen.
Das Makro "AutoExec", das bei jedem Start von Word automatisch aufgerufen wird, enthält eine Zeitabfrage, die beim Erreichen der Uhrzeit 13:13:13 (jeden 13. ab Februar 1996) das Makro "System" aufruft. "System" enhält dann die eigentliche Schadensfunktion. Das Makro "AutoExec" wird ebenfalls von den Virus-Makros "AutoOpen" und "DateiSpeichernUnter" beim Öffnen und Speichern von Dokumenten aufgerufen.
Als Schadensfunktion benennt der Virus die Menüstruktur von Word um:
Datei -> Mr.Boombastic
Bearbeiten - > and
Ansicht
-> Sir WIXALOT
Einfügen -> are
Format ->
watching
Extras -> you
Tabelle -> !
Fenster
-> !
Hilfe - > !
Zwischen den einzelnen Umbenennungsbefehlen fügt der Virus Pausen ein und erzeugt jeweils einen Ton über den PC-Lautsprecher. Nachdem die Menünamen umbenannt wurden, erzeugt Boom eine neue globale Text-Vorlage NORMAL.DOT und fügt dort die folgenden Texte ein:
" Greetings from Mr. Boombastic and Sir WIXALOT !!! "
" Oskar L., wir kriegen dich !!! "
" Dies ist eine Initiative des Institutes zur Vermeidung und
Verbreitung von"
" Peinlichkeiten, durch in der ffentlichkeit
stehende Personen, unter der "
"
Schirmherrschaft von Rudi S. ! "
Dieser Text wird vom Virus ausgedruckt.
Boom enthält noch weitere Texte, z.B.:
" Mr. Boombastic and Sir WIXALOT !!! "
Einige weitere Schadensfunktionen wurden durch REM's in Kommentare umgewandelt und damit deaktiviert. Darin sollten z.B. die Dateien AUTOEXEC.BAT, CONFIG.SYS und COMMAND.COM umbenannt werden.
Analyse 25.04.1996 (c) Stefan Kurtzhals (VHM) für Computer Virus Research Lab Germany