VIRUSNAME: | XM/Laroux, X97M/Laroux |
VIRUSTYP: | Microsoft Excel Makro-Virus |
INFIZIERT: | Microsoft Excel-Spreadsheets |
GRÖSSE: | 1 Modul "laroux", 2 Makros |
SYMPTOME: | Neue globale Vorlage "PERSONAL.XLS" vorhanden |
"Laroux" infiziert Excel-Dateien und benutzt die Programmiersprache Visual Basic for Applications (VBA). Der Virus wird beim Öffnen einer infizierten Datei aktiv und erzeugt eine Datei mit dem Namen "PERSONAL.XLS" im "XLSTART"-Verzeichnis. Dadurch stellt der Virus sicher, daß seine Makros beim nächsten Start von Excel ebenfalls gestartet. Microsoft Excel führt beim Start alle Excel-Dateien aus, die sich in diesem Verzeichnis befinden.
Der Virus besteht aus zwei Makros:
Diese Makros sind normalerweise unter Microsoft Excel nicht sichtbar, ebenso wie die neue globale Vorlage. Der Virus setzt das Attribut "Very-Hidden" und verhindert somit die Anzeige des Virenprogrammcodes.
"Laroux" wird beim Öffnen von Dateien über das Makro "auto_open" aktiviert. Dateien werden nur infiziert, falls diese keine weiteren Module enthalten. Der Virus überträgt sein eigenes Modul in die Datei und blendet das dem Virus zugehörige Arbeitsblatt aus.
Der Virus enthält keine spezielle Schadensfunktion, es gibt allerdings eine sehr große Anzahl von Varianten, die sich zum Teil erheblich vom Original unterscheiden. Der Virus konvertiert problemlos in das Excel97- und in das Excel2000-Dateiformat.
"Laroux" gilt als der am stärksten verbreitete Excel-Makrovirus.