Makro infiziert Winword

Der Anti-Viren-Gemeinde ist die Spezies 'Makro-Virus' schon seit Jahren ein Begriff. Prinzipiell sind solche Schmarotzer in jeder Softwareumgebung denkbar, in der bestimmte Makros ohne explizite Genehmigung des Benutzers ausgeführt und gespeichert werden. Insbesondere Programme, die eine Integration solcher Makros in ihren 'normalen' Dateityp, etwa Textdokumente unter WinWord, erlauben, bieten Makro-Viren eine gute Tarnkappe.

Der virale Code ist bei WinWord.Concept in den eingebetteten WordBasic-Makros enthalten. Beim Laden einer infizierten Datei setzt sich der Virus zunächst im globalen Makrobereich fest, ändert die 'DateiSpeichernUnter'-Routine und sorgt so dafür, daß er sich fortpflanzen kann. Beim Beenden speichert WinWord den globalen Makrobereich in die Standarddokumentenvorlage (in der Regel Normal.dot), wodurch WinWord.Concept sein Überleben bis zum nächsten Programmstart sichert. Da der Austausch von Textdokumenten den meisten Anwendern bislang als ungefährlich gilt, ist hohe Infektionsgefahr gegeben. Dennoch besteht momentan kein Grund zur Panik, da der Virus keinerlei zerstörerische Routinen enthält und relativ einfach zu erkennen und zu entfernen ist.

Allerdings sollte das Auftreten von WinWord.Concept Anwendern wie Softwareherstellern zu denken geben: Erstere sollten sich bewußt machen, an wievielen (und welchen) Stellen in ihren Systemen sich Ansatzpunkte für derartige Übeltäter bieten und welche Gegen- bzw. Kontrollmaßnahmen ihnen selbst zur Verfügung stehen (unter WinWord gibt es zum Beispiel eine Option, die das automatische Abspeichern der Standarddokumentenvorlage erst nach Benutzerinteraktion gestattet). Die Entwicklungsabteilungen sollten sich im klaren darüber sein, daß in so manchem Massenprodukt eine Zeitbombe tickt.

Der Autor von Win-Word. Concept hat sich netterweise keine Mühe gegeben, den Viruscode zu verbergen: wer in einer infizierten Datei den Menüpunkt 'Extras–Makros…' aufruft, findet dort neben einigen anderen sofort 'AAAZFS' und 'AAAZAO'. Alternativ kann man auch alle Word-Dokumente nach dem String 'iWW6IInstance' durchsuchen (Vorlagen nicht vergessen!). Zur Beseitigung des Virus genügt es, zunächst in allen befallenen Dateien alle Makros zu löschen und die Dokumente mit 'Speichern' zurückzuschreiben; auf keinen Fall darf dabei 'Speichern unter…' verwendet werden, da diese Routine ja verfälscht ist. Abschließend muß die gleiche Prozedur auf die Standarddokumentenvorlage angewendet und WinWord beendet werden.

Wer in großem Umfang Dokumente mit anderen Rechnern austauscht, sollte sein WinWord allerdings mit einem aktiven 'Verteidigungssystem' ausrüsten: Andrew Krukov und Eugene Kaspersky haben das 'AntiViral Toolkit Pro for WinWord 6/7' als Freeware freigegeben. Dieses WinWord-Dokument klinkt sich auf die gleiche Weise wie WinWord.Concept schützend in das System ein. Ein Doppelklick genügt sowohl zur Installation als auch zum späteren Entfernen. Bezug über ftp.command-hq.com/pub/command/avp/, die c't-Mailbox oder gegen 5 DM Schutzgebühr auf Diskette von Howard Fuhs Elektronik (Telefon 0611/67713). (nl) (nl)