Virusname | Toten.A:De |
Virustyp | Microsoft Word Makro-Virus |
Infiziert | Microsoft Word Dokumente und Vorlagen |
Größe | 2057 Bytes (2 Makros) |
Symptome | Dokumente werden mit einem Passwort verschlüsselt |
Toten basiert offensichtlich auf den bekannten Virus NOP und unterscheidet sich lediglich durch eine erweiterte Schadensfunktion von diesem Virus. Genau wie NOP besteht Toten aus zwei Makros:
"AutoOpen" (NORMAL.DOT: "README")
"README" (NORMAL.DOT: "DateiSpeichern")
Genau wie NOP benennt der Virus beim Infizieren der globalen Vorlage seine Makros um (Aktivierung: AutoOpen, Infektion beim Speichern von Dokumenten).
Bevor der Virus weitere Dokumente infiziert, fragt er das Systemdatum des Rechners ab. Es werden je nach Datum verschiedene Unterfunktionen aufgerufen, die ein mehr oder weniger zufälliges Passwort generieren.
Die jeweiligen Termine sind:
"05.04."
"10.05."
"08.06."
"29.08."
"20.12."
"31.12."
Das Passwort setzt sich z.B. aus dem Datum und der Uhrzeit zusammen, oder aus einer Kombination von Strings.
Am 2.1.2000 zeigt der Virus ein Fenster mit folgenden Text an:
"Makrovirus : Die Toten Hosen(DTH) aus Düsseldorf"
"Heute ist der 02.01.2000. Sie haben den Makrovirus: Die Toten Hosen"
"Der Virus wurd von M.N. aus Schwelm (BRD) am 08.06.1996 programmiert."
"Ich bin ein echter Hosen Fan."
"Ha,ha,ha,ha,ha,ha,..."
"Das kennwort setzt sich zusammen aus Datum oder Zeit und den"
"buchstaben (TH) oder (TotenHosen) oder (40) oder (DTH)"
Der Virus enthält an zwei Stellen den Kommentar:
"REM M.N. aus 58332 BRD"
"REM Code:894533-1120-67914050-0371-69916060"
"REM Code:Campino"
"REM Toten Hosen Power"
Analyse 19.7.1997 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)