title image


Smiley Re: an profis: ist das ein virus? Jawohl!
Es handelt sich hierbei um einen Winword-Makrovirus, der sich selbst vom aktiven Dokument in die Standardvorlage und von dort in jedes weitere Dokument ausbreitet.Der Autor sorgt dafür, daß der Anwender am 23.Juli darauf aufmerksam gemacht wird, daß er (der Autor) am 25. Juli Geburstag hat und fragt den Anwender, ob er ihm gratuliert (MsgBox ... vbYesNo).Die Antwort des Anwenders hat keinen Einfluss auf den weiteren Code.Der weitere Code ist ein wenig gemeiner, denn:Er sorgt beim Schließen eines Dokumentes dafür, daß sich der Virus weiter ausbreitet, sich also vom infizierten Dokument in das jeweis andere kopiert. Dabei löscht er rücksichtslos Code, der möglicherweise vom aktuellen Anwender erstellt wurde.Weiterhin schreibt er irgend welche "witzigen" Texte in ein Standardialog (FileDialogSummary).Weitere Auswirkungen auf das System hat der Virus nicht, so daß er eigentlich als harmlos bezeichnet werden müsste.Außerdem ist erkennbar, daß der Autor dieses Virusses ein Deutscher sein muß, denn der Code enthält einige für einen Deutschen typische Rechtschreibfehler. Der ganze Virus macht übrigens den Eindruck, als sei er von irgend einem Dilettanten erstellt worden, der Spaß daran hat, andere Leute zu ärgern. Insbesondere die Idee, die Variablen mit X1 ... bis X16 zu benennen, um das ganze schwer durchschaubar zu machen, ist einfach lachhaft.Mein Virenscanner (F-Prot) warnt übrigens vor Winword-Dokumenten, die mit diesem Virus infiziert sindWie wird man diesen Virus wieder los?1. Die ultimative Lösungwäre, die Standardvorlage Normal.dot zu löschen. Winword erstellt dann beim nächsten Start eine neue Normal.dot, die dann allerdings leer ist. Einstellungen, die man vorgenommen hat, und eigener Code gingen verloren. Eigender Code dürfte ohnehin bereits durch diesen Virus verloren gegangen sein, wenn man schon einmal gezwungen ist, sich mit diesem Virus zu beschäftigen.Weiterhin löscht man alle infizierten Winword-Dokumente (richtig: schade drum!).2. Standardvorlage rettenWenn man versuchen möchte, seine Normal.dot zu retten, geht man folgendermaßen vor:Winword starten. Nach dem Start hat der Virus bereits einen Teil seiner Arbeit getan und den Code aus dem jeweils nicht infizierten Teil (aktuelles Dokument oder Normal.dot) gelöscht, d.h. das Codemodul für das neue Dokument ist leer.Dann öffnet man den Visual Basic-Editor. In Word: Menü Makros ... Extras ... Visual Basic Editor.In der Normal.dot sieht man nun unter "ThisDocument" den Quellcode des Virusses. Diesen Code löscht man nun und schließt Winword wieder.Man startet Winword erneut und überzeugt sich davon, das die Normal.dot "sauber" ist.Nun schaltet man den Virenschutz (der von diesem Virus ausgeschaltet wurde) wieder ein:Menü Extras ... Optionen ... Allgemein und dort Makrovirenschutz aktivieren.Von nun an wird man gewarnt, wenn man ein infiziertes Dokument öffnen möchte. Selbstverständlich darf man dann nicht zulassen, daß der Virus erneut ausgeführt wird, denn dann kann man wieder von vorn anfangen.3. Desinfizieren und retten bereits infizierter DokumenteWenn infizierte die Dokumente wertvolle Daten enthalten, wäre es schade, diese Dokumente einfach zu löschen Also:1. Zunächst einmal lässt man einen Virenscanner nach infizierten Dokumenten suchen.2. Sicherstellen, daß Winword und die Normal.dot virenfrei ist.3. Virenschutz aktivieren.4. Infiziertes Dokument öffnen und die Frage, ob das Makro ausgeführt weden soll verneinen.5. Visual Basic Editor öffnen und nicht in "Normal", sondern unter "Project" ... Microsoft Word Objekte ... ThisDocument den Quelltext heraussuchen und vollständig löschen.6. Da wir dieses Dokument mit Makrovirenschutz geöffnet haben, ist es schreibgeschützt. Also unter einem anderen Namen abspeichern.7. Die ursprünglich infizierte Datei löschen. Abschließend möchte ich sagen, daß ich es ebenso wie die anderen Beantworter dieses Zweiges zum kotzen finde, daß es Leute gibt, die ihre Zeit damit verplempern, die Arbeit ihrer Mitmenschen zu beschädigen oder zu zerstören.Gruß,Thomas Prötzschcu
Thomas Prötzsch

geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: