| Virusname | Colors |
| Virustyp | Microsoft Word Makro-Virus |
| Infiziert | Microsoft Word Dokumente und Vorlagen |
| Größe | 6470 Bytes (9 Makros) |
| Symptome | Die Farbpalette von Windows wird verändert |
| Reinigung | Viren-Makros aus infizierten Dokumenten löschen (AutoClose, AutoExec, AutoOpen, FileExit, FileNew, FileSave, FileSaveAs, macros, ToolsMacro) |
Colors ist ein komplexer Makrovirus und besteht aus 9 Execute-Only
Makros:
"AutoClose"
"AutoExec"
"AutoOpen"
"FileExit"
"FileNew"
"FileSave"
"FileSaveAs"
"macros"
"ToolsMacros"
Colors ist der erste Makro-Virus, der trotz ausgeschalteter Auto-Makros in der Lage ist, das System zu infizieren. Außerdem besitzt er eine Art Tarnkappenfunktion: ist das System infiziert, kann der Anwender nicht mehr über den Befehl "Extras/Makros" die Makroliste betrachten und damit den Virus entdecken. Der Virus besitzt sogar einen Debug-Modus, in dem ständig Hinweise über die Aktionen des Virus ausgegeben werden. Außerdem werden die Makros des Virus im Debug-Modus nicht als Execute-Only (verschlüsselt) abgespeichert.
Beim Aufruf eines der Virenmakros (bis auf AutoExec) versucht der Virus als erstes, die globale Makrovorlage NORMAL.DOT zu infizieren, wobei der Hinweis, daß NORMAL.DOT verändert werden soll, abgeschaltet wird. Auto-Makros hingegen werden vom Virus aktiviert, falls der Anwender diese ausgeschaltet hatte.
Der Virus prüft, ob sämtliche seiner Makros bereits in der globalen Vorlage vorhanden sind. Ist das nicht der Fall, übertragt der Virus seine Makros und ersetzt dabei evtl. vorhandene Makros. NORMAL.DOT wird beim Öffnen, Speichern sowie Schließen von Dokumenten und beim Beenden von Word infiziert.
Colors infiziert Dokumente beim Erzeugen und Speichern von Dateien (FileNew, FileSave, FileSaveAs), wobei auch hier anhand der Makroliste geprüft wird, ob das Dokument bereits infiziert wurde.
Die Schadensfunktion und weitere Unterfunktionen des Virus befinden sich im Makro "macros". Die Schadensfunktion (eine Unterroutine "objectiv") wird bei jedem Aufruf eines Virusmakros ausgeführt, bis auf "AutoExec", das leer ist und offenbar nur definiert wurde, um Antiviren-Makros zu überschreiben. Der Virus erzeugt in der WIN.INI eine Variable im Abschnitt [Windows] mit dem Namen "countersu", die von 0 an hochgezählt wird. Bei jedem dreihundertsten Aufruf der Schadensfunktion setzt der Virus die Farbpalette von 21 ver- schiedenen Windows-Desktopelementen auf zufällige Werte.
Analyse 5.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)