Eine Infektionswelle noch nicht dagewesenen Ausmasses droht Neuer Virus nutzt Dokumente statt ausfuehrbarer Dateien

01.09.1995

MUENCHEN (CW) - Das erste Exemplar einer neuen Generation von Computerviren ist aufgetaucht. Der Erreger befaellt nicht ausfuehrbare Dateien, sondern Dokumente, wodurch er systemunabhaengig ist und eine hoehere Verbreitungsgeschwindigkeit erhaelt.

Der "Winword.Concept" getaufte Virus wird gelegentlich auch als "WW6-Macro" oder "Prank Macro" bezeichnet. Diese Titel beschreiben seine Funktionsweise: Er benutzt Microsofts Makrosprache Word Basic, um Dateien der Textverarbeitung "Winword 6" (*.doc) zu befallen. Beim ersten Oeffnen eines infizierten Winword-Texts entpuppt er sich als Auto-open-Makro und infiziert die Datei "Normal.dot" oder jede andere voreingestellte Standard- Dokumentenvorlage.

Damit handelt es sich um das erste Exemplar einer neuen Klasse von Viren, die statt ausfuehrbarer Dateien (*.exe, *.com etc.) Dokumente als Medium benutzen. Joerg Steindecker, Geschaeftsfuehrer von S&S International Deutschland in Hamburg, aus dessen Unternehmen "Dr. Solomon's Anti-Virus Toolkit" kommt, erklaert: "In der Vergangenheit wurde immer wieder die Moeglichkeit diskutiert, ob eines Tages ein Virus in einer Makrosprache auftauchen koennte. Dieser Alptraum ist nun Realitaet."

Wegen der Infizierung von Dokumenten rechnen Experten mit einer viel schnelleren Verbreitung dieser Virenart. Howard Fuhs vom Computer Virus Research Lab Germany in Wiesbaden-Biebrich (Telefon: 0611/677 13) meint: "Es muss davon ausgegangen werden, dass sich der Winword-Concept-Virus sehr weit verbreitet, da es weitaus haeufiger vorkommt, dass Anwender Textdateien austauschen als ausfuehrbare Dateien." Inzwischen sind bereits Faelle einer Uebertragung per E-Mail bekannt. Ausserdem ist Winword.Concept der erste Multiplattform-Virus. Er befaellt unterschiedslos Systeme unter Windows 3.x, Windows 95, Windows NT und Apple System 7.

Verraeterische Meldung bei der ersten Infektion

Anwender koennen den Erreger jedoch erkennen. Nach dem ersten Befall eines Rechners meldet er sich: Beim Oeffnen des infizierten Texts erscheint ein Nachrichtenfenster mit der Zahl "1", das sich nur durch Klicken auf "OK" schliessen laesst. Oeffnet der Anwender weitere Texte und schliesst sie anschliessend mit "Datei/Speichern unter", werden auch diese infiziert. Allerdings erscheint in allen Folgeoperationen die verdaechtige Meldung nicht mehr.

Jedoch hinterlaesst der Virus andere Spuren. Anwender koennen unter "Extra/Makros" die Liste der verfuegbaren Makros einsehen. Befinden sich dort die Makros "AAAZFS", "AAAZAO", "AutoOpen", "Payload" und "FileSaveAs", ist Winword infiziert.

Befallene Dateien enthalten unter anderem den folgenden Text:

see if we're already installed

iWW6IInstance

AAAZFS

AAAZAO

That's enough to prove my point

Die Winword6.ini-Datei bekommt durch die Infektion den Eintrag "WW6I01".

Ausser einer geringen Verlaengerung der Dokumente hat der Virus bisher keine Wirkung. Ein Virenspezialist von S&S befuerchtet allerdings, dass man ihm durch eine Manipulation am Makro "Payload" destruktive Befehle mitgeben koennte.

Mit gaengigen Virenpruefern, die Boot-Sektoren und ausfuehrbare Dateien kontrollieren, ist Winword.Concept nicht beizukommen. Allerdings gibt es inzwischen entsprechende Virenkiller. S&S verschickt gegen fuenf Mark in Briefmarken eine Anleitung zum Entfernen des Virus. Howard Fuhs bietet per Compuserve (100120,503) und per Internet (100120.503