WordMacro.Gangsterz

Virusname Gangsterz, Gangster
Virustyp Microsoft Word Makro-Virus (Shortcuts)
Infiziert Microsoft Word Dokumente und Vorlagen
Größe 4250 Bytes (2 Makros)
Ursprung Deutschland
Symptome Verändert NORMAL.DOT, Textausgabe, verändert AUTOEXEC.BAT, Aktivierung eines BAT-Virus ("Xop")
Reinigung Viren-Makros aus infizierten Dokumenten löschen (Gangsterz, Paradise), BAT-Virus aus AUTOEXEC.BAT löschen

Gangsterz ist ein weiterer Virus, der sich über Belegung von Tasten und nicht durch die Übernahme von Systemmakros aktiviert. Die Makros "Gangsterz" und "Paradise" werden mit den Taste "e" und "Leertaste"verknüpft. Beim Drücken einer der beiden Tasten prüft der Virus zuerst, ob ein Dokument gerade editiert wird. Ist das der Fall fügt der Virus den betreffenden Buchstaben in das Dokument ein, infiziert das Dokument und aktiviert seine Schadensfunktionen.

"e" löst eine Schadensfunktion am 15.1. aus, bei der eine neue Vorlage NORMAL.DOT erzeugt wird, die folgenden Text enthält:

"Big_Daddy_Cool Virus generated by NJ"

Danach wird in einer Endlosschleife immer wieder der Buchstabe "O" eingefügt.

Die zweite Schadensfunktion wird aktiviert, wenn beim Drücken der Leertaste die INI-Variable "XOP" noch nicht gesetzt ist. Der Virus öffnet die Datei "C:\AUTOEXEC.BAT" und fügt den Batch-Virus "Xop" am Ende an. Dieser Virus ist harmlos und kann durch Löschen der Einträge mittels Editor entfernt werden.

Gangsterz funktioniert mit jeder nationalen Version von WinWord, durch die verwendete Infektionsmethode ist es allerdings nicht sehr wahrscheinlich das sich der Virus stark verbreiten wird.


Analyse 10.3.1997 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)



Makro-Index

VHM-Startseite