WordMacro.Hot

Virusname Hot
Virustyp Microsoft Word Makro-Virus
Infiziert Microsoft Word Dokumente und Vorlagen
Größe 5515 Bytes (4 Makros)
Symptome Textinhalt von Dokumenten wird gelöscht
Reinigung Viren-Makros aus infizierten Dokumenten löschen (AutoOpen, DrawBringInFrOut, InsertPBreak, ToolsRepaginat, FileSaveAs, StartOfDoc)

Hot ist ein komplexer Virus, der aus 4 verschlüsselten Makros besteht. Er wird durch Ausführen des Makros "AutoOpen" beim Öffnen eines infizierten Dokuments aktiv. Zunächst wird die Abfrage von Word bei Veränderung von NORMAL.DOT abgeschaltet, damit sich d er Virus ungestört in die globale Makro- Vorlage kopieren kann. Hot prüft, ob in der Datei "WINWORD6.INI" ein Eintrag "QLHot" vorhanden ist. Hier fügt der Virus ein Datum ein, das 14 Tage nach dem Tag liegt, an dem die globale Vorlage infiziert wurde. Ist diese Variable noch nicht gesetzt, versucht Hot NORMAL.DOT zu infizieren.

Der Infektionsvorgang wird abgebrochen, falls bereits eines der Virenmakros vorhanden ist. Die Makros werden mit dem WordBasic-Befehl "MakroKopieren" übertragen, wobei einige der Makros dabei umbenannt werden:


"AutoOpen"

"DrawBringInFrOut"

"InsertPBreak"

"ToolsRepaginat"


Folgende Makros sind zusätzlich in der infizierten NORMAL.DOT vorhanden:


"FileSave" (entspricht "ToolsRepaginat")

"StartOfDoc" (entspricht "AutoOpen")


Interessant ist, daß Hot spezielle Funktionen aus der Windows-Datei "KERNEL.EXE" benutzt (Win API). Diese Schnittstelle bietet eine sehr große Anzahl von Funktionen an, Hot benutzt lediglich die API, um den Pfad von Windows festzustellen und um Dateien zu öffnen.


Die Schadensfunktion wird kurz nach dem Erreichen des unter "QLHot" festgelegten Datums ausgelöst, wobei der Text des gerade aktiven Dokuments gelösocht wird. Falls die Datei "C:\DOS\EGA5.CPI" vorhanden ist, überspringt Hot die Schadensfunktion.


Analyse 7.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)



Makro-Index

VHM-Startseite