WordMacro.Vicinity.A:De

Virusname Vicinity.A:De
Virustyp Microsoft Word Makro-Virus
Infiziert Microsoft Word Dokumente und Vorlagen
Größe 4383 Bytes (3 Makros)
Symptome Veränderung von AUTOEXEC.BAT, Erzeugen von SYSLOG1.BAT, SYSLOG2.BAT und BOOTLOG,.BAT, Veränderung von Texten in Dokumenten.

Vicinity ist ein einfacher Makrovirus mit einer Anzahl von Schadensfunktionen. Er besteht aus 3 verschlüsselten Makros und ist nur mit der deutschen Version von Winword lauffähig. Ähnlich wie Concept benennt der Virus einige Makros bei der Infektion der globalen Vorlage NORMAL.DOT um.

"AutoOpen" (3408 Bytes) (bzw. "DateiSpeichern" in NORMAL.DOT)

"ExtrasMakro" (885 Bytes)

"DateiDokVorlagen" (90 Bytes)

Bevor der Virus die globale Vorlage NORMAL.DOT infiziert, prüft er, ob diese über das Dateiattribut gesperrt ist. In Abhängigkeit von der Version des Betriebssystems erzeugt der Virus dann verschiedene Batchdateien, die dann beim nächsten Neustart des Syst ems das Attribut von NORMAL.DOT wieder entfernen.

In Abhängigkeit vom Systemdatum führt der Virus verschiedene Schadensfunktionen aus:

Nach dem 15.1.1997:

Der Virus ersetzt die folgenden Texte im aktuellen Dokument:

"SAP" mit "SàP",

"%%%7%%%%" mit "%%%8%%%"

Nach dem 15.6.1997:

Die Datei SYSLOG2.BAT wird erzeugt und AUTOEXEC.BAT so abgeändert, das SYSLOG2.BAT bei jedem Start des Systems mit aufgerufen wird. SYSLOG2.BAT erzeugt eine Datei mit dem Namen "c:\netstat.con", die bei jedem Systemstart verlängert wird und nur das Wort " Datenmüll" enthält.

Nach dem 15.8.1997 und die Systemuhrzeit vor 8 Uhr steht, bzw. nach dem 15.11.1997:

Die Datei AUTOEXEC.BAT wird so verändert, daß sie die Batchdatei BOOTLOG.BAT aufruft. Diese löscht beim Start des System die Dateien "c:\w95guard\wgfe.exe" bzw. c:\winguard\wgfe.exe". Dabei handelt es sich um das Wächterprogramm des Antiviren-Programms Dr .Solomons.


Versucht der Anwender die Funktion "Extras/Makro" aufzurufen, zeigt der Virus ein abgeändertes Menü an und verhindert die Anzeige der Virenmakros.

Beim Aufruf von "Datei/Dokumentvorlagen" zeigt der Virus den folgenden Text an:

"Microsoft Word 1.0"

"Zur Zeit ist keine Dokumentvorlage aktiviert !"


Analyse 19.7.1997 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)



Makro-Index

VHM-Startseite