Virusname | Schumann.A |
Virustyp | Microsoft Word Makro-Virus (Mehrsprachig) |
Infiziert | Microsoft word Dokumente und Vorlagen |
Größe | 10590 Bytes (11 Makros) |
Symptome | Löscht Makros, Anzeige von Texten |
Schumann.A stellt einen Versuch dar, einen Anti-Virus-Virus zu schreiben, also einen positiven Virus, der andere Viren eliminiert. Dabei geht der Virus allerdings dilettantisch vor -- und selbst professionell programmierte Antiviren-Makros bieten nur mangelhaften Schutz.
Schumann besteht aus 11 verschlüsselten Makros:
InnLib (9970 Bytes)
AutoOpen (60 Bytes)
FIleOpen (31 Bytes)
FileSave (31 Bytes)
HilfeInfo (28 Bytes)
Innocence (31 Bytes)
FileSaveAs (32 Bytes)
ToolsMacro (31 Bytes)
DateiÖffnen (323 Bytes)
DateiSpeichern (26 Bytes)
DateiSpeichernUnter (27 Bytes)
Der Virus infiziert nicht die globale Vorlage NORMAL.DOT, sondern erzeugt eine weitere Vorlage (AddIn) mit dem Namen "inlay.dot", was z.B. der Infektionsmethode von Zero.A entspricht. Sind bereits Makros mit gleichen Namen wie die Virenmakros vorhanden, werden diese gelöscht. Der Virus aktiviert einen Shortcut, "STRG-F12" (normalerweise: DateiÖffnen) auf das Virenmakro "HilfeInfo". Dieses Makro zeigt die aktuelle Infektionsstatistik des Virus an:
"GENERATION: "
"ANZAHL GEKILLTE VIREN: "
"LETZTER GEKILLTER VIRUS: "
"ANGESTECKT BEI: "
"DURCH DOKUMENT: "
"INNOCENCE 2 Anti-virus-virus"
"Nothing could bring me closer, Nothing could bring me nearer,"
"Where is the road I follow, leaving, leave."
Schumann benutzt eine Anzahl von INI-Variablen, einmal um das System als infiziert zu markieren und dann, um eine Infektionsstatistik zu führen. Bis zur fünften Infektiongeneration ersetzt der Virus allerdings den Namen des Anwenders und des infizierten Dokuments mit "Traceback Block", um seinen Infektionsweg zu verschleiern.
Beim Öffnen von Dokumenten führt der Virus einen "Virencheck" durch. Es wird nach bekannten Makronamen wie etwa "NOP" (NOP-Virus), "CAP" (CAP-Virus) oder "BüroNeu" (Buero-Virus) gesucht, bzw. auch nach typischen Virenmakros wie "DateiSpeichernUnter" und andere. Findet Schumann passende Makros, zeigt er die folgenden Texte an:
"Innocence meldet:"
"Die Datei ... enthält einen Makrovirus. Identifiziert als ..."
"KEINE PANIK:"
"Innocence wird nun versuchen, diesen Virus zu entfernen."
"Ihr Dokument wird nicht beschädigt."
"Desinfizieren..."
"Der Virus wurde entfernt."
Dabei löscht Schumann.A alle Makros, von denen er annimmt, daß sie zu einen anderen Virus gehören.
Dokumente werden beim Aufruf von "Datei, Speichern unter" infiziert, wobei Schumann verhindert, daß der Anwender den Formattyp "Dokumentvorlage" sehen kann.
Der Autor des Virus hat offenbar mit einer Tarnkappenfunktion experimentiert, diese aber im Virus deaktiviert, da sie nicht einwandfrei funktioniert. Die Funktion "Extras/Makro" ist lediglich blockiert, was sehr auffällig ist.
Neben einer Reihe von Texten enthält der Virus den Kommentar:
"REM Hier erlaube ich es mir, den "F-win" -Programmierer S.K. zu gruessen."
"REM Das ist keineswegs ironisch gemeint."
"REM Innocence wird von euch bestimmt "Schumann-Virus genannt"
"REM oder õhnlich blöd, um dem Programmierer nicht den Pseudoruhm der"
"REM Namensgebung zu lassen. Schon witzig."
"REM Sieh vielleicht mal nach, wieviele Viren Innocence bereits gekillt hat."
"REM Diese Daten sind nicht gefaked."
Analyse 19.7.1997 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)