WordMacro.Satanic

Virusname Satanic
Virustyp Microsoft Word Makro-Virus
Infiziert Microsoft Word Dokumente und Vorlagen
Größe 53249 Bytes (5 Makros)
Ursprung Deutschland
Symptome Textanzeige, Word-Menüeinträge werden gelöscht, Formatiert Festplatte C:, schleust Dei.8772 ins System ein
Reinigung Viren-Makros aus infizierten Dokumenten löschen (AutoNew, AutoExec, AutoExit, AutoOpen, AutoClose), mit Virenscanner nach Dei.8772-Infektionen suchen!

Satanic ist ein sehr großer Makrovirus mit insgesamt 53249 Bytes Länge und 5 verschlüsselten Makros:

"AutoNew"

"AutoExec"

"AutoExit"

"AutoOpen"

"AutoClose"

Dokumente werden beim Erzeugen und Schließen infiziert, wobei wie üblich die Datei in eine Vorlage umgewandelt wird.

Der Virus enthält eine Anzahl von Schadensfunktionen, die zu verschiedenen Zeitpunkten aufgerufen werden:

AutoNew:

Am 30.9. wird ein Fenster mit folgeden Text angezeigt:

"You're infected with Satanic", "Nightmare Joker :-)"

AutoExec:

Es werden die Word-Menüeinträge Makro, Anpassen und Optionen (unterhalb von Extras) entfernt, damit der Anwender den Virus nicht mehr über die Makroliste erkennen kann.

AutoExit:

Am 1.10. versucht der Virus über den DOS-Befehl FORMAT die Festplatte

C: zu formatieren.

AutoOpen:

Ist die INI-Variable "Control", "Installed" noch nicht gesetzt erzeugt der Virus über ein Debug-Script die Datei NC.COM und führt sie aus. Diese Datei enthält den DOS-Virus Dei.8772.

Da der Virus nur Auto-Makros verwendet, funktioniert er mit jeder Version von Winword, lässt sich allerdings durch Abschalten der Auto-Makros blockieren.


Analyse 10.3.1997 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)



Makro-Index

VHM-Startseite