Howard Fuhs
Howard Fuhs
Howard Fuhs
IT-Sicherheitsberater
IT-Sicherheitsberater
IT-Sicherheitsberater

Man spricht deutsch

Erster Makro-Virus speziell für deutsche WinWord Versionen

Copyright (C) 03/1996 by Howard Fuhs


In einem Posting in einem Internet-Forum wurde der erste Makro-Virus veröffentlicht, der speziell für die deutsche Version von Word für Windows programmiert wurde. Da alle Texte und Befehle in den Makros und alle verwendeten Makronamen in deutscher Sprache gehalten sind, wird sich dieser Virus nicht unter fremdsprachigen Versionen von WinWord verbreiten können und damit auf den deutschen Sprachraum begrenzt sein. Der CARO Name für den Makro-Virus wird "Xenixos" sein.

Wird ein infiziertes Dokument geöffnet, kontrolliert Xenixos die Datei NORMAL.DOT auf das Vorhandensein des Makros "DateiSpeichernUnter". Fehlt dieses Makro, wird NORMAL.DOT von dem Virus infiziert.

Xenixos verbreitet sich beim Aufruf der Funktion "DateiSpeichern" und "DateiSpeichernUnter".

Alle Makros sind Execute-Only und können damit vom Anwender weder angesehen noch verändert werden.

Während des Infektionsvorgangs überprüft der Virus das Systemdatum und führt davon abhängig verschiedene Schadensfunktionen aus.

So versucht Xenixos im Monat März den DOS-Virus Neuroquila durch ein Debug-Script zu erzeugen. Durch einen Programmierfehler wird dieser Virus nicht richtig generiert und kann dadurch nicht aktiv werden.

Im Monat Mai wird die Datei AUTOEXEC.BAT von Xenixos so abgeändert, dass beim nächsten Neustart des Computers der Format-Befehl automatisch ausgeführt und damit die Festplatte formatiert wird.

Als weitere Schadensfunktion überprüft der Virus während der Infektion die Systemuhrzeit und versieht die gespeicherte Datei mit dem Passwort "Xenixos", wenn die aktuelle Sekunde 45 oder höher ist.

Wird eine Datei ausgedruckt, wird bei einem Sekundenwert kleiner 30 der Text "Nemesis Corp" dem ausgedruckten Dokument hinzugefügt.

In mit Xenixos infizierten Dokumenten können die folgenden Makros gefunden werden:

AutoExec
AutoOpen
DateiBeenden
DateiDrucken
DateiDruckenStandard
DateiÖffnen
DateiSpeichern
DateiSpeichernUnter
Drop
Dummy
ExtrasMakro

Die infizierte Datei NORMAL.DOT enthält weiterhin die Makros:

AutoClose
AutoExit
AutoNew

Xenixos bedient sich Techniken um sein Präsenz zu verbergen. So schaltet der Virus bei der Infektion die Optionen "AutoMakrosUnterdrücken" und "GlobalDotAbfrage" aus. Damit unterdrückt Xenixos Meldungen von WinWord bei der Veränderung der Datei NORMAL.DOT.

Wird WinWord gestartet, speichert Xenixos einen Teil seiner Makros noch zusätzlich unter neuem Namen ab. Wird ein Dokument geöffnet, werden diese Makros wieder umbenannt. Damit verhindert Xenixos das Löschen oder Überschreiben seiner Makros.

 


Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.

Copyright (C) 03/1996 by Howard Fuhs

 

Fuhs Security Consultants
 
Alle Rechte
vorbehalten!

 
 Realisation:
Frank Ziemann
Home Impressum


WebCam
24h WorldTimer PCI DSS Publikationen Digital Publishing EN English
Thema 00
Hier finden Sie Information über Dinge, von denen wir jetzt noch nichts verraten wollen.
Fallbeispiele
Fallbeispiele aus der alltäglichen Datenunsicherheitspraxis.
Neues
Aktuelle Neuigkeiten und Medieninformationen.
Service
Sichern Sie Ihr Unternehmen durch unsere Dienstleistungen und Serviceangebote ab.
Fallbeispiele
Die neue 24h WorldTimer Uhrenserie mit standardisierter astronomischer Zeitangabe nach ISO 8601 für 24-Stunden-Umgebungen
PCI DSS
Dienstleistungen und Serviceangebote rund um den Payment Card Industry Data Security Standard
Publikationen
Fachartikel und Buchmanuskripte von Howard Fuhs.
Digital Publishing
Publikationen von Howard Fuhs auf CD-ROM.
EN English pages
Please find here our English pages for international visitors.
      E-Mail
Sie erreichen uns
per E-Mail unter
  info@fuhs.de
    Realisation
EDV-Beratung
Frank Ziemann
www.fz-net.com
Themen  
Themen
Papers Satellite Hacking
Fachartikel deutsch
Präsentationen
Fachartikel englisch
Bücher von Howard Fuhs
Buchrezensionen
Medienberichte
Datensicherheitsinfos
Sicherheitsinfos
Computerviren und ihre Vermeidung
Information Security Bulletin
Bilder PCBRL
Bilder DCF77
Jokes
Fachartikel deutsch
Deutsche Fachartikel von Howard Fuhs.
Präsentationen
Präsentationen von Howard Fuhs.
Fachartikel englisch
Englische Fachartikel von Howard Fuhs.
Sicherheitsinformationen
Sicherheitsinformationen auch aus Quellen des Computeruntergrunds.
Computerviren und ihre ...
Buchmanuskript von Howard Fuhs über Computerviren, erstmals veröffentlicht 1993.
Jokes
Einfach nur Witze.
Bücher von Howard Fuhs
Buchveröffentlichungen von Howard Fuhs.
Howard Fuhs in den Medien
Medienbericherstattung über Howard Fuhs.
Datensicherheitsinformationen
Allgemeine Datensicherheitsinformationen von Howard Fuhs.
Bilder PCBRL
Technische Bilder von Howard Fuhs für das Printed Circuit Board Research Lab.
Information Security Bulletin
Deutsche Ausgaben des Information Security Bulletin von CHI-Publishing Ltd., UK.
Papers Satellite Hacking
Englische Texte zum Vortrag Satellite Monitoring, Satellite Hacking and Satellite Security
DCF77 Funkuhr
Vintage Gallery - Bilder einer DCF77 Funkuhr von 1972
Buchrezensionen
Howard Fuhs bespricht Fachbücher