WordMacro.Nuclear

Virusname Nuclear
Virustyp Microsoft Word Makro-Virus
Infiziert Microsoft Word Dokumente und Vorlagen
Größe 10556 Bytes (9 Makros)
Symptome Text wird an Dokumente beim Drucken angefügt, Systemdateien werden am 5.4. gelöscht
Ursprung Australien
Reinigung Viren-Makros aus infizierten Dokumenten löschen (AutoExec, AutoOpen, DropSuriv, FileExit, FilePrint,FilePrintDefault, FileSaveAs, InsertPayload, Payload)

Nuclear war nach Concept der zweite Makro-Virus, der in Umlauf gebracht wurde. Im Internet wurde ein Word-Dokument verteilt, das eine Warnung über den Concept-Virus enthielt, gleichzeitig aber mit Nuclear infiziert war.

Nuclear war der erste Makro-Virus, der Execute-Only (verschlüsselte) Makros einsetzte, um eine Analyse zu erschweren. Insgesamt besteht der Virus aus neun Makros mit insgesamt 10556 Bytes Länge:

"AutoExec"

"AutoOpen"

"DropSuriv"

"FileExit"

"FilePrint"

"FilePrintDefault"

"FileSaveAs"

"InsertPayload"

"Payload"

Über das Makro AutoExec oder AutoOpen wird der Virus aktiviert und kopiert sich in die globale Vorlage, falls nicht bereits ein Makro mit dem Namen "AutoExec" vorhanden ist. NORMAL.DOT wird also beim Starten von Word und beim Öffnen eines infizierten Dokum ents verseucht. Ein gesetztes Read-Only-Attribut kann der Virus allerdings nicht umgehen. Nachdem der Virus seine Makros in die globale Vorlage übertragen hat, ruft er seine Schadensfunktionen auf:

Von 17:00 bis 17:59 Uhr erzeugt der Virus eine Textdatei mit einem Debug-Script des DOS/Windows-EXE-Virus Ph33r und benutzt "C:\DOS\DEBUG.EXE", um den Virus in eine lauffähige Form zu bringen. Dazu erzeugt der Virus weiterhin eine Batchdatei "EXEC_PH.BAT" und ruft diese mit Shell auf. Allerdings ist diese Funktion fehlerhaft: Der Virus infiziert keine Datei und das DOS-Fenster mit dem aktiven Virus wird sofort wieder geschlossen. Ph33r wird also nie ins System eingeschleust.

Eine weitere Schadensfunktion wird beim Drucken von Dokumenten aufgerufen. Falls das Sekundenfeld der aktuellen Systemuhrzeit größer als 55 ist, fügt der Virus vor dem Drucken am Dokumentende folgende Zeilen hinzu:

" And finally I would like to say: "

" STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC! "

Die dritte Schadensfunktion wird am 5. April ausgelöst. Der Virus löscht dann die Systemdateien "C:\IO.SYS", "C:\MSDOS.SYS" und "C:\COMMAND.COM".

Bei jedem Schließen einer Datei schaltet der Virus die Abfrage von Word ab, ob eine veränderte NORMAL.DOT wirklich gesichert werden soll. Diese Schutzfunktion ist also gegen Nuclear wirkungslos.

Nuclear infiziert Dokumente beim Speichern mittels der Funktion "DateiSpeichernUnter" (FileSaveAs), wobei Dokumente intern in Vorlagen umgewandelt werden. Der Virus überprüft nicht, ob ein Dokument bereits infiziert ist und überschreibt evtl. vorhandene Ma kros.

Da der Virus englische Makronamen wie "FileSaveAs" verwendet, funktioniert er nicht zusammen mit der deutschen Version von Word.


Analyse 7.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)



Makro-Index

VHM-Startseite