Virusname | Phantom, Guess, TEM, Teaside |
Virustyp | Microsoft Word Companion Makro-Virus |
Infiziert | Microsoft Word Vorlagen |
Größe | 1126 Bytes (1 Makro) |
Symptome | Texte werden ausgedruckt oder in Dokumente eingefügt, Dokumente beim Öffnen sofort wieder geschlossen |
Reinigung | Viren-Makro aus infizierten Dokumenten löschen (AutoOpen) |
Phantom besitzt gegenüber anderen Makro-Viren einige ungewöhnliche Eigenschaften. Zunächst besteht der Virus nur aus einem einzigen verschlüsselten (Execute-Only) Makro, "AutoOpen", und belegt nicht, wie andere Viren, weitere Makros wie z.B. "DateiSpeichernUnter", um sich zu verbreiten. Die Infektionsroutine für die globale Vorlage NORMAL.DOT und normale Dokumente befinden sich innerhalb von "AutoOpen".
Wird ein mit Phantom infiziertes Dokument geöffnet, prüft der Virus, ob die Dokumentenvariable "populated" gesetzt ist. Ist das nicht der Fall, erzeugt der Virus eine neue globale Vorlage NORMAL.DOT und kopiert das Virus-Makro "AutoOpen" in die neu erzeugt e Datei. Anschließend setzt Phantom die Variable "populated", um das System als infiziert zu kennzeichnen. Ist diese Variable bereits gesetzt, infiziert der Virus das gerade geöffnete Dokument, indem "AutoOpen" in das Dokument mit dem Befehl MakroKopieren übertragen wird. Phantom ist der erste Makro-Virus, der Dokumentvariablen als Selbsterkennung von bereits infizierten Dokumenten verwendet.
Phantom ist einer der wenigen Companion-Makroviren, die Dokumente nicht direkt infizieren, sondern gleichnamige .DOT-Dateien erzeugen und diese mit Dokumenten verbinden. Wird das Dokument geöffnet werden auch gleichzeitig die Makros in der .DOT-Datei und somit der Virus aktiviert.
In Abhängigkeit von einer Zufallszahl (mit Werten von 0 bis 100) aktiviert der Virus verschiedene Schadensfunktionen. Es wird unter anderem die Größe der Schriftart geändert oder ein neues Dokument (NORMAL.DOT) mit dem Inhalt
"The word is out."
"The word is spreading..."
"The Phantom speaks..."
erzeugt, welches dann ausgedruckt wird.
Ebenfalls möglich ist der folgende Text, der ebenfalls in eine neu erzeugte Datei "NORMAL.DOT" eingefügt und ausgedruckt wird:
"Sedbergh"
"is CRAP"
"The word spreads..."
Die folgenden Texte werden je nach Wert der berechneten Zufallszahl in das gerade aktuelle Dokument eingefügt:
"This school is really good. NOT"
"We all love Mr. Hirst."
"Mr. Hirst is a great bloke"
"M.R.Beard"
"This network is REALLY fast."
"Hi sexy!"
"Who's been typing on my computer?"
"Well helloooo there!"
"Guess who?"
Außerdem wird gelegentlich die gerade geöffnete Datei sofort wieder geschlossen.
Da der Virus nur das Makro "AutoOpen" belegt, funktioniert er auch problemlos mit der deutschen Version von Winword.
Analyse 3.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)