Virusname | Tele, Lbynj, Telefonica |
Virustyp | Microsoft Word Makro-Virus |
Infiziert | Microsoft word Dokumente und Vorlagen |
Größe | 22256 Bytes |
Symptome | Text wir Dateien beim Drucken hinzugefügt, Infektion des Systems mit Kampa.3784 |
Reinigung | Viren-Makros aus infizierten Dokumenten löschen |
Tele ist ein weiterer deutscher Makro-Virus und basiert höchstwahrscheinlich auf älteren Viren wie Xenixos. Die 7 Makros von Tele sind insgesamt 22256 Bytes groß und liegen in verschlüsselter Form vor (Execute-Only):
"AutoExec"
"AutoOpen"
"DateiBeenden"
"DateiDrucken"
"DateiNeu"
"DateiÖffnen"
"Telefonica"
Das Makro "AutoExec" enthält den Programmteil für die Infektion der globalen Makrovorlage NORMAL.DOT. Diese wird nicht infiziert, wenn in der WIN.INI unter "Compatibility" der String "0x0030303" gleich "LBYNJ" gesetzt ist. Das Makro "AutoExec" ruft seiners eits die Schadensfunktion im Makro "Telefonica" auf.
"AutoOpen" startet lediglich "AutoExec", was bedeutet, daß NORMAL.DOT beim Öffnen eines infizierten Dokuments oder beim Start von Word infiziert wird. Der Virus benutzt den Makronamen "Telefonica" als Selbsterkennung und infiziert die globale Vorlage nicht , wenn dieses Makro bereits vorhanden ist. Während der Infektion wird die Option "AutoMakrosUnterdrücken" ausgeschaltet, damit werden also Makros wie "AutoOpen" wieder automatisch ausgeführt.
Weitere Dokumente werden von Tele beim Aufruf der Makros "DateiBeenden", "DateiNeu" und "DateiÖffnen" infiziert, wobei am Ende von "DateiÖffnen" wieder das Makro "Telefonica" aufgerufen wird. Dokumente werden intern in Vorlagen umgewandelt, bevor sie infiz iert werden.
Die erste Schadensfunktion des Virus befindet sich im Makro "DateiDrucken". Wird ein Dokument gedruckt und ist die Sekundenzahl der aktuellen Uhrzeit kleiner 10, wird vor dem Drucken am Dateiende der folgende Text angefügt:
" Lucifer by Nightmare Joker (1996) "
Die zweite Schadensfunktion wird über das Makro "Telefonica" aktiviert, wenn das Sekundenfeld der aktuellen Uhrzeit 0 oder 1 ist ("Telefonica" wird von "AutoOpen", "AutoExec" und "DateiÖffnen" aufgerufen). Tritt diese Bedingung ein, erzeugt Tele in "C:\DOS " eine Datei mit dem Namen "TELEFONI.SCR", die ein Debug-Script des DOS-Virus Kampana.3784 enthält. Nach dem Erzeugen der .SCR-Datei wird eine Batchdatei erzeugt und ausgeführt. "TELEFONI.BAT" ruft den DOS-Befehl C:\DOS\DEBUG.EXE auf, um das Debug-Script i n einen lauffähigen Binärcode umzuwandeln und startet danach den DOS-Virus.
Analyse 30.04.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)