| Virusname | Zero.A:De |
| Virustyp | Microsoft Word Makro-Virus |
| Infiziert | Microsoft Word Dokumente und Vorlagen |
| Größe | 727 Bytes (9 Makros) |
| Ursprung | Deutschland |
| Symptome | Anzeige eines Textfensters |
| Reinigung | Viren-Makros aus infizierten Dokumenten löschen |
Zero ist ein gewöhnlicher Makrovirus, der allerdings eine Besonderheit hat: es wird nicht wie sonst üblich, die globale Vorlage NORMAL.DOT infiziert, sondern ein neues Add-In mit dem Dateinamen "0.dot" erzeugt und aktiviert. Damit umgeht der Virus jede Sch utzmaßnahme, die die Datei NORMAL.DOT gegen Makroviren absichern soll.
Der Virus besteht aus den 9 folgenden Makros:
"dok"
"dsu"
"wrd"
"extrasmakro"
"dateischließen"
"dateispeichern"
"dateidokvorlagen"
"dokumentschließen"
"dateispeichernunter"
Beim Infizieren anderer Dokumente prüft der Virus nicht die Makronamen, sondern kopiert 9 beliebige Makros, was leicht zu Mutationen und Kombinationen mit bereits installierten Makros führen kann. Zero.A verwendet die neu erzeugte Vorlage 0.dot als Quelle für die Makros während des Infektionsvorgangs.
Zero verwendet die Dokumentvariable "tk" als Infektionsmarkierung und zeigt im Juni den folgenden Text an:
"Lisa, ich liebe dich!"
Über die Makros "extrasmakros" und "dateidokvorlagen" realisiert Zero.A eine gut funktionierende Tarnkappenfunktion, die Virenmakros sind nicht sichtbar solange der Virus aktiv ist, während die Makroliste weiterhin normal angezeigt wird.
Analyse 17.3.1997 (c) Stefan Kurtzhals (VIRUS HELP MUNICH)