| Virusname | Cap.A |
| Virustyp | Microsoft Wor Makro-Virus |
| Infiziert | Microsoft Word Dokumente und Vorlagen |
| Größe | 2 672 Bytes (13 Makris) (Deutsche Version des Virus) |
| Ursprung | Maracay, Venezuela |
| Symptome | Keine Schadensfunktion |
| Reinigung | Viren-Makros aus infizierten Dokumenten löschen |
Cap.A ist ein ungewöhnlicher Makrovirus. Er ist nicht sprachabhängig wie viele andere Makroviren, sondern ermittelt die benötigten Namen anhand der Word-Menüstruktur. Wird der ursprünglich englische Makrovirus mit der deutschen Version von Word aktiviert, werden folgende Makros erzeugt und weiter in andere Dokumente übertragen:
"CAP"
"AutoExec"
"FileOpen"
"FileSave"
"AutoClose"
"FileClose"
"FileSaveAs"
"ToolsMacro"
"DateiÖffnen"
"FileTemplates"
"DateiSpeichern"
"DateiSpeichernUnter"
"DateiSchließenOderAllesSchließen"
(nach einer Infektion mit der deutschen Version von Word)
Der Virus kann somit eine variable Anzahl von Makros enthalten, die unterschiedliche Namen haben können, je nach Version des eingesetzten Winword.
Nur das "CAP"-Makro enthält wichtige Funktionen des Virus, sämtliche anderen Makros rufen nur Unterfunktionen in "CAP" auf oder blockieren Systemfunktionen von Word (einfache Tarnkappenfunktion).
Der Virus infiziert auch .RTF-Dateien, die vom Virus im Word-Dateiformat gespeichert werden wobei die Dateiendung beibehalten wird.
Ansonsten infiziert der Virus Dokumente auf die übliche Methode und enthält keine weiteren Schadensfunktionen.
Analyse 17.3.1997 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)