WordMakro.Dishonor.A

Virusname: Dishonor.A, Honor.A, Wannabe.A
Virustyp: Microsoft Word Makro-Virus
Infiziert: Microsoft Word Doumente und Vorlagen
Größe: 418 Byte (1 Makro)
Ursprung: Deutschland
Symptome: Beim Infizieren von Dokumenten flackert der Bildschirmaufbau von Word kurz
Reinigung: Viren-Makro aus infizierten Dokumenten löschen

Dishonor verwendet einen interessanten Trick um seinen verdächtigen Programmcode zu verstecken. Das sichtbare Makro "AutoOpen" enthält keinen Befehl um Makros in andere Dokumente zu kopieren oder ähnliche verdächtige Makrobefehle. Der eigentliche Code des Virus ist verschlüsselt in einer Dokumentvariable "V" abgespeichert, die der Virus beim Infizieren von Dokumenten ausliest, entschlüsselt und in ein neu erzeugtes Makro "HONOR" einfügt und anschließend ausführt. Damit ist der Virus sprachabhängig und funktioniert nur mit der deutschen Version von Word.

Unter Word 6.0 funktioniert das Ausschalten der Bildschirmaktualisierung nicht, daher sieht der Anwender bei jeder Infektion, wie der Virus das temporäre Makro erzeugt, den Programmcode einfügt und ausführt. Eine Verbreitung des Virus unter Word 6.0 ist daher unwahrscheinlich.

Der Virus enthält keine Schadensfunktion sondern nur einen Kommentar:

" REM After FutureNot, AntiFWIN, SlovakDictator and the NB Virii's "
" REM comes now my contribution against the av-scanners. "
" REM HERE IS >>>>> HONOR <<<<< "

Analyse 10.4.1997 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)



Makro-Index

VHM-Startseite