WordMacro.Slow.A

Virusname Slow.A, SlovakDictator, Dictator
Virustyp Microsoft Word Makro-Virus
Infiziert Microsoft Word Dokumente und Vorlagen
Größe 1 Makro (AutoOpen), variable Länge
Ursprung Slovakei
Symptome Beim Infizieren von Dokumenten flackert der Bildschirmaufbau von Word kurz, das Öffnen von infizierten Dokumente wird sehr stark verzögert, Anzeige eines Textfensters
Reinigung Viren-Makro aus infizierten Dokumenten löschen ("AutoOpen")

Slow ist derzeit der komplexeste bekannte Makrovirus. Der Virus ist polymorph, wobei bei jeder Infektion sämtliche Namen von Variablen, Konstanten und Textstrings im Viruscode verändert werden. Der Programmcode sieht beispielsweise so aus:

AVLRCKOUFVTMKMJPJR = Val(Left$(ADKAPBAVCRPTNA$, KRVTLQFIOQ))
If AVLRCKOUFVTMKMJPJR <> SLDMTVLJUILNV Then Goto UTCUSCLAOECQNLTBA
Call FLPMKRKPCAPOCBQVUMN
AnzeigeAktualisieren CTOJSIQREBIMKSCJOQ

Besonders kompliziert versteckt ist der eigentliche Infektionsteil des Virus. Dieser befindet sich in einem codierten String-Array, Slow.A ist somit der erste Makrovirus der eine interne Verschlüsselung verwendet. Allerdings ist die Verschlüsselung so komp liziert, bzw. WordBasic so langsam das selbst auf schnellen Pentium-Rechnern der Virus mindestens 30 Sekunden braucht um sich zu aktivieren (daher auch der Name Slow).

Es ist sehr unwahrscheinlich das sich dieser Virus je verbreiten wird. Aufgrund der Englischen Texte in den Arrays ist der Virus sprachabhängig und funktioniert nicht mit der deutschen Version von Word.

Der Virus zeigt gelegentlich ein Textfenster an:

"Virus ALERT!"

"You're infected by WordMacro.SlovakDictator virus"

"Welcome to the LME (Lamer's Macro Engine) ver. 1.00"

"Dis is Level 421"

"(c) 1-mar-97, Nasty Lamer && Ugly Luser, Slovakia"

"Dis is the first world true polymorphic macro virus !"

"Accept / Suhlas"

"Big fuck to the big boxer V.M."


Analyse 10.4.1997 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)



Makro-Index

VHM-Startseite