| Virusname: | Fire.A:De |
| Virustyp: | Microsoft Word Makro-Virus |
| Infiziert: | Microsoft Word Dokumente und Vorlagen |
| Größe | 4630 Bytes (9 Makros) |
| Ursprung: | Deutschland |
| Symptome: | Einfügen von Texten beim Drucken |
| Reinigung: | Viren-Makros aus infizierten Dokumenten löschen |
Fire.A ist ein einfacher Makrovirus, der aus den folgenden verschlüsselten Makros besteht:
"AutoExec"
"AutoOpen"
"DateiNeu"
"AutoClose"
"DateiÖffnen"
"ExtrasMakro"
"DateiBeenden"
"DateiDrucken"
"DateiSpeichernUnter"
Falls vorhanden, entfernt der Virus die Menüeinträge "Makro" und "Anpassen" aus dem Menüpunkt "Extras" und verhindert somit, daß der Anwender die Virenmakros bemerken kann.
Der Virus prüft, ob die Datei "c:\debug.txt" vorhanden ist und erzeugt daraufhin den Menüpunkt "Info", über den die Makroliste einsehbar ist.
Infizierte Dokumente enthalten folgende Benutzerinformationen:
Name = "<<<<<Steril
Virus>>>>>"
Initialen = "STV"
Adresse = "
In Hamburg, das genügt! "
Die Schadensfunktion des Virus wird beim Drucken von Dokumenten ausgelöst, falls die aktuelle Systemuhrzeit ein Sekundeneintrag kleiner 10 hat. Fire.A fügt dann den Text
">>>>>>RODE FUCK YOU!!!<<<<<<"
in das zu druckende Dokument ein.
Der enthält weiterhin folgende Bemerkungen:
REM Rode Du bist
schlimmer als Masch!!!!!!!!!
REM Irrtum!
REM Ok! Ein Witz mit Rode,
Masch und Willer in den Hauptrollen!
REM Die 3 Sucker sollen erschossen
werden!(BITTE! BITTE!)
REM Auf jeden Fall stehen sie vorm
Erschiessungskomando, sagt
REM Willer: "Seht da! Ein Orkan"
Soldaten drhen sich um Erschissung
REM verschoben! (So'n Pech aber auch)
REM Nächster Tag, gleiches Spiel! Masch ruft: "Eine Sinnflut! ..."
REM Erschissung verschoben....
REM Nächster Tag alle stehen wieder
an der Mauer, denkt Rode sich,
REM Mensch ich muss noch was sagen zur
Ablenkung!
REM Ruft er: "FEUER!!!"
REM ROTFL ;>>>>>
Analyse 17.3.1997 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)