| Virusname | Gangsterz, Gangster |
| Virustyp | Microsoft Word Makro-Virus (Shortcuts) |
| Infiziert | Microsoft Word Dokumente und Vorlagen |
| Größe | 4250 Bytes (2 Makros) |
| Ursprung | Deutschland |
| Symptome | Verändert NORMAL.DOT, Textausgabe, verändert AUTOEXEC.BAT, Aktivierung eines BAT-Virus ("Xop") |
| Reinigung | Viren-Makros aus infizierten Dokumenten löschen (Gangsterz, Paradise), BAT-Virus aus AUTOEXEC.BAT löschen |
Gangsterz ist ein weiterer Virus, der sich über Belegung von Tasten und nicht durch die Übernahme von Systemmakros aktiviert. Die Makros "Gangsterz" und "Paradise" werden mit den Taste "e" und "Leertaste"verknüpft. Beim Drücken einer der beiden Tasten prüft der Virus zuerst, ob ein Dokument gerade editiert wird. Ist das der Fall fügt der Virus den betreffenden Buchstaben in das Dokument ein, infiziert das Dokument und aktiviert seine Schadensfunktionen.
"e" löst eine Schadensfunktion am 15.1. aus, bei der eine neue Vorlage NORMAL.DOT erzeugt wird, die folgenden Text enthält:
"Big_Daddy_Cool Virus generated by NJ"
Danach wird in einer Endlosschleife immer wieder der Buchstabe "O" eingefügt.
Die zweite Schadensfunktion wird aktiviert, wenn beim Drücken der Leertaste die INI-Variable "XOP" noch nicht gesetzt ist. Der Virus öffnet die Datei "C:\AUTOEXEC.BAT" und fügt den Batch-Virus "Xop" am Ende an. Dieser Virus ist harmlos und kann durch Löschen der Einträge mittels Editor entfernt werden.
Gangsterz funktioniert mit jeder nationalen Version von WinWord, durch die verwendete Infektionsmethode ist es allerdings nicht sehr wahrscheinlich das sich der Virus stark verbreiten wird.
Analyse 10.3.1997 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)