Virusname | Concept, Prank |
Virustyp | Microsoft Word Makro-Virus |
Infiziert | Microsoft Word Dokumente und Vorlagen |
Größe | 1968 Bytes (4 Makros) |
Symptome | Anzeige einer "1" innerhalb eines Textfenfsters bei infizieren der globalen Makrovorlage |
Reinigung | Viren-Makros aus infizierten Dokumenten löschen (AutoOpen, AAAZAO, AAAZFS, FileSaveAs) |
Concept ist der erste Makro-Virus für Microsoft Word, der in freier Wildbahn auftauchte. Erste Infektionen wurden im August 1995 gemeldet, heute ist dieser Virus einer der verbreitetsten Viren weltweit und hat mittlerweile selbst Bootviren wie Form verdrängt. Makro-Viren wie Concept sind Plattformunabhängig und funktionieren unter Word für Windows, Windows 95, Windows NT und Macintosh. Die Idee eines Makro-Virus ist nicht neu, bereits 1994 wurde ein Demonstrationsvirus (WordMacro.DMV) programmiert. Makro-Viren für Microsoft Word nutzen folgende Umstände aus:
1) Es ist möglich, Word-Dokumente problemlos in Vorlagen umzuwandeln,
um darin Makros zu speichern. Der Name der Datei kann weiterhin auf ".DOC"
enden.
2) Es gibt Auto- und Systemmakros, die entweder automatisch bei
bestimmten Aktionen von Word ausgeführt werden oder bestimmten
Systemfunktionen von Word entsprechen. Diese Makros können beliebig neu
belegt werden.
3) Eine globale Dokumentvorlage erlaubt das automatische
Laden von benutzerdefinierten Makros beim Start von Word.
4) Die
WordBasic-Makrosprache ist sehr mächtig, Makros können sich selber
kopieren und sämtliche DOS-Befehle oder sogar API-Funktionen von Windows
aufrufen. Einige der Makro-Viren enthalten in ASCII-Texte umgewandelte
DOS-Viren, die ins System eingeschleust werden.
5) Die meisten Makro-Viren verschlüsseln ihre Makros (Execute-Only
Makros), um eine Analyse zu erschweren. Execute-Only Makros können nur noch
ausgeführt, gelöscht oder umbenannt werden. Das Betrachten oder
Editieren des Makrotextes ist nicht mehr möglich.
Da Makro-Viren WordBasic benutzen, existieren sie nur, solange Microsoft Word aktiv ist. Beendet man Word, wird auch ein gerade aktiver Virus beendet. Außerhalb von Word sind Makro-Viren deshalb wirkungslos, sie können jedoch permanenten Schaden wie das Löschen von wichtigen Systemdateien usw. verursachen.
Der Concept-Virus besteht aus vier Makros, die unverschlüsselt
vorliegen:
"AAAZAO"
"AAAZFS"
"AutoOpen"
"Payload"
Concept wird aktiv, wenn der Anwender mit Word ein infiziertes Dokument öffnet, um es zu betrachten. Das gelingt dem Virus, weil Word das im Virus enthaltene Makro "AutoOpen" automatisch beim Öffnen von Dokumenten ausführt, ohne den Anwender vorher zu benachrichtigen. Es gibt noch weitere Auto-Makros, die von Word bei bestimmenten Aktionen (Datei Öffnen, Schließen, Speichern, Drucken etc.) ausgeführt werden.
Wird ein infiziertes Dokument geöffnet, prüft das Virenmakro "AutoOpen" zunächst nach, ob in der globalen Makrovorlage "NORMAL.DOT" bereits die Virenmakros "Payload" und "FileSaveAs" (DateiSpeichernUnter) vorhanden sind. Ist das der Fall, geht Concept davon aus, daß das System bereits infiziert ist und bricht den Initialisierungsvorgang ab. Ist "NORMAL.DOT" noch nicht infiziert, überträgt der Virus seine Makros mit Hilfe des Befehls MakroKopieren, wobei das Makro "AAAZFS" unter den neuen Namen "FileSaveAs" gespeichert wird. NORMAL.DOT enthält nach der Infektion folgende Makros:
"AAAZAO"
"AAAZFS"
"FileSaveAs"
"Payload"
Nach erfolgter Infektion der globalen Vorlage setzt der Virus in der WIN.INI den Eintrag "WW6I = 1" und zeigt ein Textfenster mit einer "1" an. Offenbar wollte der Virenprogrammierer eine Art Generationszähler einbauen, aber der Befehl zum Erhöhen des Zählers "WW6Infector" fehlt.
Concept infiziert weitere Dokumente, wenn der Anwender Dateien über den Menüpunkt "Dateien/Speichern unter" sichern will. Zuerst wird der Dokumenttyp von "Word Dokument" auf "Word Vorlage" umgestellt und anschließend die Viren-makros aus der gobalen Vorlage in das Dokument übertragen.
Der Virus besitzt keine Schadensfunktion, obwohl er ein entsprechendes Makro ("Payload") enthält. Das betreffende Makro ist bis auf eine Bemerkung leer:
" That's enough to prove my point ""
Der folgende Text befindet sich im Viruscode, wird aber nie angezeigt:
" PayLoad is just for fun. "
Da Concept englische Makronamen wie "FileSaveAs" benutzt, funktioniert er mit der deutschen Version von Word nicht richtig, lediglich NORMAL.DOT wird infiziert.
Concept wurde versehentlich von mehreren Firmen einschliesslich Microsoft selbst auf CD's verschickt und ist daher besonders stark verbreitet.
Analyse 4.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)