WordMacro.Nomvir.A:De

Nomvir enthält eine Vielzahl von Schadensfunktionen und ist damit einer der aggressivsten deutschen Makroviren. Er besteht aus den 10 folgenden verschlüsselten Makros:

"FuckIt"

"AutoNew"

"AutoExec"

"AutoOpen"

"ExtrasMakro"

"DateiBeenden"

"DateiDrucken"

"DateiSpeichern"

"DateiDokVorlagen"

"DateiSpeichernUnter"

Der Virus führt in der WINWORD.INI einen Zähler, der mit jeder Infektion hochgezählt wird. Erreicht der Zählt den Wert 10 oder 20, werden die DOS-Systemdateien "C:\Autoexec.bat" und "C:\Config.sys" gelöscht.

Weiterhin prüft der Virus das aktuelle Systemdatum. Jeden zweiten Tag im Monat (2., 4., 6. usw.) ersetzt der Virus den Text ">ung" mit "Hell", falls das aktuelle Dokument langer als 4 Seiten und die

aktuelle Systemuhrzeit ein Stundenfeldeintrag von 10 hat. Ist der Stundeneintrag größer als 20, wird am Ende des Dokuments der Text

" Fuck Microsoft & Bill Gates "

eingefügt.

Am 1.1., 25.12 oder Samstag den 13. bzw. 23. löscht der Virus die Registry-Dateien "User.da0", "User.dat", "System.da0" und "System.dat" falls die aktuelle Windowsversion 4.0 ist (Windows95).

Ist im Abschnitt "Compatibility" der Eintrag "Nomvir" gleich "0x0690690" gesetzt, deaktiviert Nomvir eine Reihe seiner Schadensfunktionen.

Die Anzeige der Makroliste wird mit Fehlermeldungen wie

"Nicht genügend Arbeitsspeicher !"

oder

"Interner Fehler !"

blockiert.

Eine weitere Schadensfunktion wird beim Schließen von Dokumenten ausgelöst. Wieder prüft der Virus die Systemuhrzeit, liegt der aktuelle Sekundeneintrag zwischen 24 und 36 verschlüsselt Nomvir das aktuelle Dokument mit einem zufällig generierten Passwort ( "gATeS" plus einem zufällig gewählten Buchstaben).

Analyse 17.3.1997 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)

Makro-Index

VHM-Startseite