| Virusname | Wieder, Wiederoeffnen, Pferd |
| Virustyp | Microsoft Word (2.0) Makro-Trojan |
| Infiziert | --- |
| Größe | 638 Bytes (2 Makros) |
| Symptome | C:\AUTOEXEC.BAT wird verschoben |
| Reinigung | Viren-Makro aus infizierten Dokumenten löschen (AutoOpen, AutoClose) |
Wieder ist kein Virus, sondern ein Trojanisches Pferd, da es nur Schaden anrichtet und sich nicht ausbreiten kann. Folgende unverschlüsselte Makros sind im infizierten Dokument vorhanden:
"AutoClose"
"AutoOpen"
Öffnet man das infizierte Dokument, erzeugt der Virus das Verzeichnis "C:\TROJA" und verschiebt die Systemdatei "C:\AUTOEXEC.BAT" in das neu erzeugte Verzeichnis. Anschließend wird das Original im Pfad "C:\" gelöscht.
Schließt man das infizierte Dokument wieder, wird folgender Text angezeigt:
"Auf Wiederöffnen"
"P.S.: Falls Sie Ihre AUTOEXEC.BAT - Datei"
"gerne wiederhaben möchten, sollten Sie einen"
"Blick in das neue Verzeichnis C:\TROJA werfen..."
Das Word 2.0-Dokument, welches das Trojanische Pferd enthält, besteht aus dem folgenden Text:
" Trojanisches Pferd "
" Wenn Sie diese Zeilen lesen, wurde bereits Ihre AUTOEXEC.BAT-Datei aus dem"
" Hauptverzeichnis C:\ entfernt. Hoffentlich haben Sie ein Kopie davon ? "
" Genauso einfach wäre es gewesen, Ihre Festplatte zu löschen und mit ein "
" klein wenig mehr Aufwand könnte man auch einen Virus installieren. "
Analyse 4.5.1996 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)