WordMacro.Xenixos

Xenixos ist einer der ersten Makro-Viren, die speziell für die deutsche Version von Microsoft Word geschrieben wurden. Alle Texte im Viruscode und alle verwendeten Makronamen sind in deutscher Sprache, daher funktioniert der Virus nicht mit anderssprachige n Versionen von Word. Ursprünglich wurde der Virus in Österreich entdeckt, ein infiziertes Dokument mit einer angeblichen Viruswarnung wurde aber auch in das Forum ALT.COMP.VIRUS gepostet.

Der Virus enthält folgende Makros, die über den Befehl Datei/Makros/Organisieren in infizierten Dokumenten gefunden werden können:

"AutoExec"

"AutoOpen"

"DateiBeenden"

"DateiDrucken"

"DateiDruckenStandard"

"DateiÖffnen"

"DateiSpeichern"

"DateiSpeichernUnter"

"Drop"

"Dummy"

"ExtrasMakro"

Die infizierte Datei NORMAL.DOT enthält noch weitere Makros:

"AutoClose"

"AutoExit"

"AutoNew"

Diese enthalten aber nur das leere Makro "Dummy".

Wird ein infiziertes Dokument geöffnet, kopiert sich der Virus in die globale Makrovorlage NORMAL.DOT; allerdings nur, wenn das Makro 'DateiSpeichernUnter' noch nicht vorhanden ist. Danach ist der Virus voll aktiviert und fängt die oben genannten Funktione n von Microsoft Word ab.

Xenixos verbreitet sich beim Aufruf der Funktion 'DateiSpeichern' und 'DateiSpeichernUnter'. Alle Makros sind Execute-Only, d.h. sie können weder betrachtet noch modifiziert werden. Dateien mit dem Namen "VIRUS.DOT" werden nicht infiziert.

Während der Infektion prüft der Virus das Systemdatum und führt in Abhängigkeit davon verschiedene Schadensfunktionen aus. Falls der aktuelle Monat Mai ist, fügt der Virus den Text

" @echo j format c: /u > nul "

der Systemdatei C:\AUTOEXEC.BAT an. Beim nächsten Neustart des Systems wird dadurch die Festplatte C: formatiert, falls der DOS-Befehl FORMAT vorhanden ist.

Im März versucht Xenixos über ein Debug-Script den DOS-Virus Neuroquila ins System einzuschleusen. Wegen eines Fehlers in der Erzeuger-Batchdatei (es wird versucht, eine .EXE Datei zu erzeugen) wird der Neuroquila-Virus aber nie aktiviert. Die infizierte E XE-Datei enthält eine unverschüsselte Version des Neuroquila.

Als dritte Schadensfunktion prüft der Virus während der Infektion, ob die aktuelle Systemuhrzeit einen Sekundenwert von 45 oder höher hat. Ist das der Fall, setzt der Virus für die gerade gespeicherte Datei das Passwort "xenixos".

Beim Aufruf der Word-Befehle 'DateiDrucken' und 'DateiDruckenStandard' fügt Xenixos den Text "Nemesis Corp." dem zu druckenden Text hinzu, falls die aktuelle Systemuhrzeit einen Sekundenwert kleiner als 30 hat.

Der Virus enthält einige Tricks, die eine Erkennung erschweren sollen. Bei jeder Infektion schaltet der Virus die Optionen 'GlobalDOTAbfrage' und 'AutoMakrosUnterdrücken' aus und umgeht so mögliche Hinweise von Word, daß NORMAL.DOT verändert werden soll. D es weiteren wird beim Aufruf des Befehls 'ExtrasMakro' lediglich die Meldung

" Diese Option ist leider nicht verfügbar. "

angezeigt. Damit wird ein Betrachten der Viren-Makros verhindert.

Beim Start von Word kopiert der Virus einen Teil seiner Makros unter neuen Namen ab (z.B. 'DateiSpeichern' -> 'DateiSpeichernBak'), beim Öffnen von Dokumenten werden diese 'Backups' wiederhergestellt. Damit will der Virus offenbar verhindern, daß seine eig enen Makros überschrieben und deaktiviert werden.

Der Virus enthält unter anderen den folgenden Text, der allerdings nicht angezeigt wird:

" Brought to you by the Nemesis Corporation (c) 1996 "

Weiterhin prüft Xenixos, ob in der Datei WIN.INI in der Sektion "Compatibility" die Variable "RR2CD" auf den Wert "0x0020401" und die Variable "Diag$" auf den Wert "0" gesetzt ist. Mit der WIN.INI-Variable kann man den Virus deaktivieren und eine Infektion des Systems verhindern. Die Variable "Diag$" war offenbar zu Debugzwecken gedacht; die meisten Schadensfunktionen des Virus werden nicht ausgeführt, wenn diese Variable auf den Wert '1' (bzw. generell ungleich '0') gesetzt wird.

Analyse 01.03.1996 (c) Stefan Kurtzhals, Virus Help Munich

Makro-Index

VHM-Startseite