WordMakro.Friday.A:De

Virusname: Friday.A:De
Virustyp: Microsoft Word Makro-Virus
Infiziert: Microsoft Word Dokumente und Vorlagen
Größe: 1742 Bytes (3 Makros)
Ursprung: Deutschland
Symptome: Dokumente werden schreibgeschützt oder mit einem Passwort verschlüsselt, IO.SYS wird umbekannt
Reinigung: Viren-Makros aus infizierten Dokumenten löschen

Friday.A basiert wie viele andere Makroviren auf Concept, wurde aber stark modifiziert. Genau wie Concept unterscheiden sich die Makronamen bei der Infektion von Dokumenten und der NORMAL.DOT:

Infizierte Dokumente:

"AutoOpen"
"NOPS"
"NOPSA"

Infizierte NORMAL.DOT:

"NOPO"
"DateiSpeichern"
"DateiSpeichernUnter"

Die drei Makros sind im Gegensatz zu Concept verschlüsselt (execute-only).

Die Schadensfunktionen des Virus werden zeitgesteuert aktiviert. Friday überprüft das Datum, den Wochentag und die aktuelle Systemuhrzeit und schaltet in Abhängigkeit davon den Dokumentschutz ein (Schreibschutz), das verwendete Passwort besteht aus den ersten Buchstaben des Dateinamens. Zu bestimmten Uhrzeiten beendet der Virus Windows. Am Freitag den 13. verschlüsselt der Virus Dokumente beim Speichern mit dem Passwort "Friday13" und benennt die DOS-Systemdatei "C:\IO.SYS" in "C:\I_O.SYS" um.

Analyse 10.4.1997 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)



Makro-Index

VHM-Startseite