| Virusname: | Friday.A:De |
| Virustyp: | Microsoft Word Makro-Virus |
| Infiziert: | Microsoft Word Dokumente und Vorlagen |
| Größe: | 1742 Bytes (3 Makros) |
| Ursprung: | Deutschland |
| Symptome: | Dokumente werden schreibgeschützt oder mit einem Passwort verschlüsselt, IO.SYS wird umbekannt |
| Reinigung: | Viren-Makros aus infizierten Dokumenten löschen |
Friday.A basiert wie viele andere Makroviren auf Concept, wurde aber stark modifiziert. Genau wie Concept unterscheiden sich die Makronamen bei der Infektion von Dokumenten und der NORMAL.DOT:
Infizierte Dokumente:
"AutoOpen"
"NOPS"
"NOPSA"
Infizierte NORMAL.DOT:
"NOPO"
"DateiSpeichern"
"DateiSpeichernUnter"
Die drei Makros sind im Gegensatz zu Concept verschlüsselt (execute-only).
Die Schadensfunktionen des Virus werden zeitgesteuert aktiviert. Friday überprüft das Datum, den Wochentag und die aktuelle Systemuhrzeit und schaltet in Abhängigkeit davon den Dokumentschutz ein (Schreibschutz), das verwendete Passwort besteht aus den ersten Buchstaben des Dateinamens. Zu bestimmten Uhrzeiten beendet der Virus Windows. Am Freitag den 13. verschlüsselt der Virus Dokumente beim Speichern mit dem Passwort "Friday13" und benennt die DOS-Systemdatei "C:\IO.SYS" in "C:\I_O.SYS" um.
Analyse 10.4.1997 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)