WordMacro.Polite

Virusname Polite, WW2DEMO
Virustyp Microsoft Word Makro-Virus
Infiziert Microsoft Word Dokumente und Vorlagen
Größe 1918 Bytes (2 Makros)
Symptome Anzeige von Textfenstern
Reinigung Viren-Makros aus infizierten Dokumenten löschen (FileClose, FileSaveAs)

Polite kann bestenfalls als Demonstrationsvirus bezeichnet werden, da eine ungewollte Verbreitung sehr unwahrscheinlich ist: Der Virus meldet bei jedem Versuch, eine Datei zu infizieren, ein Fenster mit der Frage:

" Shall I infect the file ? "

an (Polite = Höflich). Betätigt der Anwender den "Nein"-Button, wird das Dokument nicht infiziert. Beim Infizieren von NORMAL.DOT zeigt der Virus den folgenden Text an (Fenster: "Activization"):

" I am alive! "

"FileClose"

"FileSaveAs"

Der Virus besteht aus zwei unverschlüsselten Makros mit insgesamt 1918 Bytes Länge. Ursprünglich wurde der Virus mit Microsoft Word 2.0 erstellt, da Word 6.0 oder 7.0 aber die alten Makros übernehmen können, werden auch Word 6.0 und 7.0 Dokumente infiziert . Ist der Virus jedoch ersteinmal nach Word 6.0 konvertiert, kann er keine Word 2.0 Dokumente mehr infizieren.

NORMAL.DOT wird beim Schließen eines infizierten Dokuments infiziert, allerdings nur, wenn kein Makro mit dem Namen "FileClose" vorhanden ist. Weitere Dokumente werden beim Aufruf von "DateiSpeichernUnter" infiziert.

Da der Virus keine Auto-Makros benutzt, kann er nicht durch den Befehl "AutoMakrosUnterdrücken" bzw. durch den Parameter /M blockiert werden.

Polite benutzt die englischen Makronamen "FileSaveAs" sowie "FileClose" und funktioniert daher nicht mit der deutschen Version von Word.


Analyse 4.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)



Makro-Index

VHM-Startseite