| Virusname | MDMA |
| Virustyp | Microsoft Word Makro-Virus |
| Infiziert | Microsoft Word Dokumente und Vorlagen |
| Größe | 1635 Bytes (1 Makro) |
| Symptome | Löschen von Systemdateien, Löschen des Laufwerks C:, Modifizierung der Windows95-Registry, Anzeigen eines Textfensters |
| Makros | AutoClos |
MDMA besteht nur aus einem einzigen verschlüsselten Makro mit 1635 Bytes Länge. Der Virus läßt sich durch Ausschalten der Auto-Makros blockieren.
Der Virus aktiviert sich beim Schließen von Dokumenten (AutoClose) und prüft zunaechst ob die globale Vorlage NORMAL.DOT bereits infiziert ist. Ansonsten überträgt der Virus sich in das aktive Dokument, welches vorher in eine Dokumentvorlage umgewandelt wi rd.
Am 1. jeden Monats prüft MDMA, welches Betriebssystem installiert ist und führt in Abhängigkeit davon verschiedene Schadensfunktionen aus. Aufgrund eines Fehlers im Programmcode geht der Virus allerdings immer davon aus, das Windows 95 installiert ist:
Windows 3.x:
Windows NT:
Windows 95:
Macintosh:
Nachdem die Schadensfunktion ausgeführt wurde, zeigt der Virus folgenden Text an:
"You are infected with MDMA_DMV. Brought to you by MDMA"
"(Many Delinquent Modern Anarchists)."
Analyse 22.10.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)