| Virusname | Hunter.A:De |
| Virustyp | Microsoft Word Makro-Virus |
| Infiziert | Microsoft Word Dokumente und Vorlagen |
| Größe | 3 Makros (A: 1051 Bytes, B: 1126, C: variabel) |
| Ursprung | Deutschland |
| Symptome | Anzeigen eines Textfensters |
| Reinigung | Viren-Makro aus infizierten Dokumenten löschen ("AutoOpen", "DateiNeu", "ExtrasMakro"), Datei "WINWORD.DOT" im Autostart-Verzeichnis löschen |
Der Hunter.A-Virus verwendet eine ungewöhnliche Infektionsmethode, ähnlich der von Zero:De und Eraser:Tw. Die Virenmakros werden nicht mehr direkt in Dokumente übertragen, Hunter erzeugt eine neue globale Vorlage mit dem Namen "WINWORD.DOT". Diese Vorlage wird beim Erzeugen von neuen Dokumenten verwendet, der Virus setzt nur noch den Formattyp auf "Vorlage", damit die Makros aktiviert werden.
Über das Makro "ExtrasMakro" realisiert der Virus seine Tarnkappenfunktion,beim Anzeigen der Makroliste verändert Hunter die Liste so, das nur die Makros in der Datei NORMAL.DOT angezeigt werden, nicht aber die Makros in "WINWORD.DOT". Stellt man die Anzei ge um, können die Makros dennoch nicht über Word selber gelöscht werden. Erst wenn man die Datei "WINWORD.DOT" gezielt öffnet können die Makros entfernt werden.
Steht beim Öffnen eines Dokuments das Sekundenfelder der aktuellen Systemuhrzeit auf 1, zeigt der Virus folgenden Text an:
"<HeadHunter V3.0>"
"One - You lock the target"
"Two - You bait the line"
"Three - You slowly spread the net"
"And four - You catch the man"
Desweiteren enthält der Virus den Kommentar:
"REM ********************************************************************"
"REM *** <HEADHUNTER V3.0> by Neurobasher, 17.10.1995, Germany ***"
"REM *** Boring experimental Winword virus with minor retro & stealth ***"
"REM ********************************************************************"
"REM *** "I'm looking for a man who knows the rules of the game" ***"
"REM *** "Who's able to forget them to realize my aim" ***"
"REM ********************************************************************"
Hunter funktioniert nur mit der deutschen Version von Word.
Hunter.B:De:
Diese Variante wurde nur geringfügig verändert und enthält jetzt den Kommentar:
"REM ********************************************************************"
"REM *** <HEADHUNTER V3.1> by Neurobasher, 19.10.1995, Germany ***"
"REM *** Boring experimental Winword virus with minor retro & stealth ***"
"REM ********************************************************************"
"REM *** "I'm looking for a man who knows the rules of the game" ***"
"REM *** "Who's able to forget them to realize my aim" ***"
"REM ********************************************************************"
Hunter.C:De:
Diese Variante unterscheidet sich erheblich von den ersten beiden Hunter-Viren. Die Schadensfunktion (Textanzeige) wurde entfernt, derVirus ist jetzt polymorph und verändert mit jeder Infektion seinen Programmcode.
Ist beim Öffnen eines infizierten Dokuments die Sekundenzahl der aktuellenSystemuhrzeit kleiner als 5, fügt der Virus in seinem Programmcode zufällig generierte Zeilen ein, wie etwa:
" WIBZBOT = 197 "
Der Kommentar im Viruscode wurde geändert:
"REM ***********************************************************************"
"REM *** <HEADHUNTER V3.5> by Neurobasher, 5.11.1995, Germany ***"
"REM *** Boring experimental Winword virus with minor poly/retro/stealth ***"
"REM ***********************************************************************"
"REM *** "I'm looking for a man who knows the rules of the game" ***"
"REM *** "Who's able to forget them to realize my aim" ***"
"REM ***********************************************************************"
Analyse 10.4.1997 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)