WordMacro.Talon.A

Virusname	WordMacro.Talon.A
Größe	2052 Bytes
Infiziert	Word Dokumente und Vorlagen
Autor	"TALON"
Ursprung	Deutschland
Bekannt seit	Anfang 1997
Symptome	ToolsMacro wird abgebrochen,obskure Meldungsfenster, ploetzlich mit einem Passwort verschluesselte Dokumente

Talon.A ist ein einfach gestricketer Makrovirus, der speziell fuer die engl. Version von Word geschrieben wurde. Er besteht aus den 6 Makros "AutoOpen", "Deed", "Info", "FSAB", "AOB", "ToolsMacro" welche bis auf "Info" allesamt verschluesselt (ExecuteOnly) sind.

Wird ein infiziertes Dokument in Word geöffnet checkt der Virus zuerst ob er schon installiert ist, indem er prueft ob schon ein Makro namens "Info" vorhanden ist. Falls das nicht zutrifft kopiert Talon.A die Makros folgerdermassen in die globale Vorlage "NORMAL.DOT":

Info -> Info

AOB -> AOB

FSAB -> FileSaveAs

Deed -> Deed

ToolsMacro -> ToolsMacro

Dann wird das Makro "Deed" gestartet,dessen einzige Aufgabe es ist zu ueberpruefen ob die Schadensfunktion ausgeloest werden soll oder nicht. Es prueft ob das Systemdatum auf den 18.06. eingestellt ist und zeigt in einer Endlosschleife folgende Meldungen na cheinander an:

"Your System Is Infected With The Macro Virus Talon #1 !"

"This Macro Virus Was Brought To You By: TALON 1997"

Das Macro "FSAB" wird wie oben zu sehen zum neuen FileSaveAs, d.h. immer wennder Befehl "FileSaveAs" (Datei/Speichern unter..) aufgerufen wird kopiert Talon.A die viralen Makros folgendermassen in die zu speichernde Datei:

Info -> Info

AOB -> AutoOpen

FileSaveAs -> FSAB

Deed -> Deed

ToolsMacro -> ToolsMacro

Somit wird das Makro "AOB" wieder zum "AutoOpen"-AutoMacro und der Kreislauf schliesst sich.

Talon.A besitzt minimale Stealth-Technik: Falls "ToolsMacro" aufgerufen wird zeigt der Virus eine Meldungsbox an und bricht ab:

"This Option Is Not Available, Please Insert The MS-Office CD And Install The

Help Files To Continue" (Titel der Meldungsbox "Warning").

Das Makro "Info" enthaelt nur folgenden Text und ist nicht verschluesselt:

"REM *********************************************

REM Talon #1

REM June 18 Payload Activates

REM Displays Message

REM All Files Encrypted Except Info File

REM

REM Brought To You By

REM "Talon"

REM ********************************************* "

Varianten:

TALON.B: Groesse 1952 Bytes, Makro "Deed" mit Makro "Password" ersetzt. Falls der aktuelle Tag = der 27. ist wird das Dokument mit dem Passwort "talon" verschluesselt und eine Meldungsbox angezeigt. "Your document Has Just been Been Saved, I Hope You Know The Password!!!" "Brought To You By Talon 1997"
Text im Makro "Info" wurde geaendert.
TALON.C: Groesse 2001 Bytes, Makro "Passwort" mit "ToolsSpelling" ersetzt. Falls in einem Dokument eine Rechtschreibpruefung durchgefuehrt wird und das Datum gerade auf einem Montag im Juni eingestellt ist wird das Dokument mit dem Passwort "talon3" verschluesselt und eine Melundungsbox angezeigt.
"I Have A Word For You To Spell V I R U S"
"Your document Has Just been Been Saved By The Word Macro Virus
Talon #3, I Hope You Know The Password!!!"
"Brought To You By Talon 1997"
Text im Makro "Info" wurde geaendert.
TALON.F: Groesse 2194 Bytes, Makro "ToolsSpelling" mit "Scramble" ersetzt. Der Virus kann sich nun auch ueber das Makro "AutoClose" verbreiten und schaltet zusaetzlich die Abfrage zu aendern der "NORMAL.DOT" ab. Falls der aktuelle Tag ein Freitag ist wird das Dokument mit dem Passwort "talon4" verschluesselt und eine Meldungsbox angezeigt.
"Your document Is Infected With The Macro Virus Talon 4"
"Your document Has Just been Been Saved, I Hope You Know The
Password!!!"
"Talon Strikes Again 1997"
Text im Makro "Info" wurde geaendert.

Analyse (c) by Felix Mannewitz/Virus Help Munich, 2.05.1997

Makro-Index

VHM-Startseite