Virusname: | FutureNot.A, FutureN.A, Future.A, AntiIVX.A |
Virustyp: | Microsoft Word Makro-Virus |
Infiziert: | Microsoft Word Dokumente und Vorlagen |
Größe: | 1 Makro (AutoOpen), variable Länge |
Symptome: | Beim Infizieren von Dokumenten flackert der Bildschirmaufbau von Word kurz, IVX.NOT-Dateien werden erzeugt, AUTOEXEC.BAT wird verändert |
Reinigung: | Viren-Makro aus infizierten Dokumenten löschen (AutoOpen) |
FutureNot ist der erste bekannte polymorphe Makro-Virus. Der Virus verändert seinen Programmcode, indem er bestimmte Variablennamen und Texte bei jeder Infektion verändert und zusätzlich Kommentare einfügt.
Beim Start des Virus erzeugt dieser ein Makro in der globalen Vorlage NORMAL.DOT (zufällig generierter Name mit fünf Großbuchstaben) und fügt in diesem Makro die Befehle ein, die der Virus benötigt um weitere Dokumente zu infizieren.
Bei jeder Infektion erzeugt FutureNot.A im aktuellen Verzeichnis eine Datei mit dem Namen "IVX.NOT", die den Text
" IVX detects all macro viruses, past, present, and future. "
enthält. IVX ist der Virenscanner eines Antiviren-Programms, IVX.NOT dient diesem Virenscanner als Markierung für Verzeichnisse, die bei der Suche übergangen werden sollen. Der Virus verhindert also eine Erkennung durch dieses Antiviren-Programm. Der Text in der vom Virus erzeugten Datei "IVX.NOT" ist eine Anspielung auf einen Werbespruch des AV-Programmherstellers.
Desweiteren fügt FutureNot.A am Ende der AUTOEXEC.BAT eine Befehlszeile hinzu, die beim nächsten Neustart des Rechners das evtl. vorhandene Schreibschutzattribut der NORMAL.DOT entfernt.
Analyse 10.4.1997 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)