Virusname | Pheeew |
Virustyp | Microsoft Word Makro-Virus |
Infiziert | Microsoft Word Dokumente und Vorlagen |
Größe | 2759 Bytes (4 Makros) |
Symptome | Anzeigen von Texten, Löschen von Dateien in C:\ und C:\DOS |
Reinigung | Viren-Makros aus infizierten Dokumenten löschen (AutoOpen, IkWordNietGoed1, IkWordNietGoed2 , Lading) |
Pheeew ist ein holländischer Makro-Virus, der stark auf dem Virus Concept basiert. Wie Concept besteht Pheeew aus vier unverschüsselten Makros:
"AutoOpen"
"IkWordNietGoed1"
"IkWordNietGoed2"
"Lading"
Wird ein infiziertes Dokument geöffnet, überprüft der Virus, ob die globale Vorlage NORMAL.DOT bereits infiiziert ist, indem er nach den Namen der Makros "Lading" und "BestandOpslaanAls" sucht. Ist NORMAL.DOT noch nicht infiziert, kopiert der Virus seine Makros in die globale Vorlage. Das Makro "IkWordNietGoed2" wird dabei unter dem Namen "BestandOpslaanAls" ("DateiSpeichernUnter") abgesichert. Anschließend zeigt der Virus mehrere Fenster mit dem folgenden Inhalt an:
Fenster "Important":
" Gotcha ! "
Fenster "FINAL WARNING!":
" STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC "
Bestätigt der Anwender das letzte Fenster mit dem "Nein"-Button wird die Schadensfunktion des Virus ausgelöst. Alle Dateien in "C:\DOS" und "C:\" werden gelöscht, evtl. gesetzte Dateiattribute dabei umgangen.
Dokumente werden beim Aufruf der Funktion "DateiSpeichernUnter" infiziert und, wie bei Makro-Viren üblich, intern in Vorlagen umgewandelt.
Der Virus enthält unter anderen die folgenden Texte:
" Done by the Catman "
Makro "Lading":
" Sub MAIN "
" REM STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC "
" REM *** WARNING *** "
" REM You're computer could be killed right now! "
" REM Thanks to you and me it's still ok! "
" REM Next time will be worse! "
" REM *** PHEEEW! *** "
" REM STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC "
" End Sub "
Pheeew funktioniert nicht mit der deutschen Version von Word.
Analyse 4.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)