Virusname | Clock |
Virustyp | Microsoft Word Makro-Virus |
Infiziert | Microsoft Word Dokumente und Vorlagen |
Größe | 3795 Bytes (11 Makros) |
Symptome | Dokumente lassen sich nicht öffnen, Fenster mit aktuller Uhrzeit wird angezeigt |
Reinigung | Viren-Makros aus infizierten Dokumenten löschen |
Clock basiert auf Concept, wurde allerdings stark erweitert und besteht aus 11 verschlüsselten Makros:
"Action"
"Öffnen"
"AutoExec"
"AutoOpen"
"Speichern"
"ExtrasMakro"
"DateiSchließen"
"DatumUndUhrzeit"
"DateiDokVorlagen"
"DateiAllesSpeichern"
"DateiSpeichernUnter"
Die Abfrage beim Verändern der NORMAL.DOT wird deaktiviert und die Funktionen ExtrasMakro und DateiDokVorlagen blockiert. Der Anwender kann somit die Makroliste nicht mehr direkt einsehen und somit die Virenmakros bemerken.
Der Virus enthält zwei Schadensfunktionen, die zeitgesteuert aktiviert werden. Die erste Funktion wird beim Öffnen von Dokumenten aufgerufen und ausgelöst, falls die Systemuhrzeit folgende Werte hat:
Jahr > 1996
Sekunde < 5
Tag = 13 oder Tag 3 oder Tag = 17
oder Tag = 21 oder Tag = 27
Trifft einer der Termine zu, wird das Öffnen von Dokumenten blockiert, allerdings werden diese weiterhin infiziert.
Die zweite Schadensfunktion wird beim Start von Winword aktiviert. Hier prüft Clock ob folgendes zutrifft:
Jahr > 1996
Sekunde > 39
Tag > 25
Ist das der Fall, wird ein Fenster mit der aktuellen Systemuhrzeit angezeigt. Der Virus hat ansonsten keine weiteren Schadensfunktionen.
Es existieren mehrere Varianten, die zum Teil (durch Winword) beschädigte Makros aufweisen, oder Teile von bekannten Antiviren- bzw. Hilfs-Makros übernommen haben.
Analyse 17.3.1997 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)