| Virusname | Satanic |
| Virustyp | Microsoft Word Makro-Virus |
| Infiziert | Microsoft Word Dokumente und Vorlagen |
| Größe | 53249 Bytes (5 Makros) |
| Ursprung | Deutschland |
| Symptome | Textanzeige, Word-Menüeinträge werden gelöscht, Formatiert Festplatte C:, schleust Dei.8772 ins System ein |
| Reinigung | Viren-Makros aus infizierten Dokumenten löschen (AutoNew, AutoExec, AutoExit, AutoOpen, AutoClose), mit Virenscanner nach Dei.8772-Infektionen suchen! |
Satanic ist ein sehr großer Makrovirus mit insgesamt 53249 Bytes Länge und 5 verschlüsselten Makros:
"AutoNew"
"AutoExec"
"AutoExit"
"AutoOpen"
"AutoClose"
Dokumente werden beim Erzeugen und Schließen infiziert, wobei wie üblich die Datei in eine Vorlage umgewandelt wird.
Der Virus enthält eine Anzahl von Schadensfunktionen, die zu verschiedenen Zeitpunkten aufgerufen werden:
AutoNew:
Am 30.9. wird ein Fenster mit folgeden Text angezeigt:
"You're infected with Satanic", "Nightmare Joker :-)"
AutoExec:
Es werden die Word-Menüeinträge Makro, Anpassen und Optionen (unterhalb von Extras) entfernt, damit der Anwender den Virus nicht mehr über die Makroliste erkennen kann.
AutoExit:
Am 1.10. versucht der Virus über den DOS-Befehl FORMAT die Festplatte
C: zu formatieren.
AutoOpen:
Ist die INI-Variable "Control", "Installed" noch nicht gesetzt erzeugt der Virus über ein Debug-Script die Datei NC.COM und führt sie aus. Diese Datei enthält den DOS-Virus Dei.8772.
Da der Virus nur Auto-Makros verwendet, funktioniert er mit jeder Version von Winword, lässt sich allerdings durch Abschalten der Auto-Makros blockieren.
Analyse 10.3.1997 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)