Home » Viren, Trojaner & Malware Forum » Ist das ein Virus? » Themenansicht

Ist das ein Virus?
#0
15.12.2002, 11:12
Klaus Wagner
zu Gast
#1 Bei der Benutzung von Microsoft Office öffnete sich folgendes Fenster:

I Think Wagner is a big stupid jerk!
VicodinES LovesYou / Class. Poppy

Nach der Bestätigung mit OK verschwand das Fenster wieder und seitdem habe ich keine weiteren Probleme festgestellt. Trotzdem kommt mir die Sache merkwürdig vor. Ist das ein Virus? Kann er weitere Schäden anrichten? Wie kann ich ihn beseitigen?
Seitenanfang Seitenende
15.12.2002, 11:26
Nautilus
Member

Beiträge: 23
#2 Wenn Dich schon VicodinES persönlich grüsst...dann wohl ja ;-)

Beschreibung des Virus:

http://service1.symantec.com/sarc/sarc.nsf/html/pf/w97m.class.a.gen.html

Hintergrundinfos zum Code(r):

http://zdnet.com.com/2100-11-514202.html?legacy=zdnn

http://news.zdnet.co.uk/cgi-bin/uk/printer_friendly.cgi?id=2071416

http://www.ku.edu/~kansite/WWI-L/1999/11/msg00370.html

http://www.google.de/search?q=cache:KdTqc8rRRUsC:madokan.fortunecity.com/mvic/vmpck.html+VicodinES&hl=de&ie=UTF-8

http://www.google.de/search?q=cache:frJPu1_h0IUC:vx.netlux.org/texts/html/eet.html+VicodinES&hl=de&ie=UTF-8

Beseitigung: Versuche es einfach mal mit einem Virenscanner. Wenn Du keinen hast, benutze einen der frei verfügbaren Online-Virenscanner (siehe http://www.pcwelt.de/ratgeber/viren/27129/2.html )

Gruss Nautilus
Dieser Beitrag wurde am 15.12.2002 um 11:30 Uhr von Nautilus editiert.
Seitenanfang Seitenende
15.12.2002, 11:42
joschi
Moderator
Avatar joschi

Beiträge: 6466
#3 http://www.geocities.com/SiliconValley/Heights/3652/class.html
...sehr ausführlich Beschreibung

http://virusall.com/downfree.html kostenlose Scanner zum Download

Ein Onlinescanner kann i.d.R doch nur feststellen , ob eine File infiziert ist ?!
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
15.12.2002, 11:53
Nautilus
Member

Beiträge: 23
#4 @Joschi Ich habe mir nicht alle Online Scanner angeschaut. Aber der RAV Online Scanner hat zum Beispiel die Funktion AutoClean.

Gruss Nautilus
Seitenanfang Seitenende
15.12.2002, 12:00
spunki
Member

Beiträge: 1516
#5 Nein die Onlinescanner funktionieren über Aktive X damit kann man doch problemlos
Datein löschen ob sie letztendlich implemiert ist weiß ich nicht.
Das ganze kann man auf Tinysoftware.com nachsehen
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Seitenanfang Seitenende
15.12.2002, 18:43
Klaus Wagner
zu Gast

Themenstarter
#6 Vielen Dank für eure Antworten!!!

Ich habe mit RAVantivirus Online meinen Computer untersuchen lassen, es wurde der Virus W97M / Class.B gefunden und mit Hilfe von AutoClean (hoffentlich) auch entfernt.

Das war mein erster Virus und ich hatte mir bisher noch keine großen Gedanken zu diesem Thema gemacht. Jetzt bin ich aber doch nachdenklich geworden, deshalb noch zwei weitere Fragen:
1. Wie kann ich mich in Zukunft besser gegen Viren schützen, um eine Infektion bereits im Vorfeld zu vermeiden?
2. Wenn ich die Infos - die ich z.T. nur überflogen habe - richtig verstanden habe, wird der Virus durch Mailanhänge verbreitet. Macht es Sinn diejenigen Personen zu warnen, mit denen ich in letzter Zeit Mails mit Anhang ausgetauscht habe?

Guß Klaus
Seitenanfang Seitenende
15.12.2002, 18:51
spunki
Member

Beiträge: 1516
#7 www.antivir.de ein kostenloser und recht guter antivirus
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Seitenanfang Seitenende
15.12.2002, 19:18
joschi
Moderator
Avatar joschi

Beiträge: 6466
#8 Zur Vermeidung folgendes: ggf. kein Outlook verwenden
Outlook eignet sich bei schlechter Konfiguration nicht nur, um Viren und Würmer "sehr einfach" auf den PC zu bekommen- sollten Verbreitungsroutinen vorgesehen sein, dann zielen auch diese auf das Adressbuch und Outlook ab. In den meisten Fällen zumindest.

Es ist aber sehr warscheinlich dass in Word erstellte/veränderte/gespeicherte Dokumente ebenfalls infiziert sind. Prüfe mal ob die CLASS.sys aus deinem C:/-Laufwerk eliminiert wurde.
hier nochmals eine komplette Beschreibung

Zitat

Characteristics
This is macro virus that belongs to the W97 family of viruses. It is also known as "Microsoft Word 97 Macro Class Virus" . It infects Microsoft Word 97 documents and the NORMAL.DOT global template used by this application. Being a macro virus, infections will be carried out through Word documents that have a macro associated to them.

A special feature is that the virus is written in Visual Basic and it uses special techniques to conceal its code. This way, detection by antiviruses will be made difficult. W97M/Class.B places itself within the modules corresponding to the documents that it infects and thus the virus does not appear to be altered.

This virus has no destructive payload. It impedes access to the options that allow users to work with macros in Word documents. However, the most common payload consists in the presentation of a message on the screen upon opening or closing a document. This message is similar to the messages that other viruses of the W97M/Class type display.

Means of Propagation


This virus uses all the regular means of virus propagation: floppy disks, CD-ROM, network, Internet, FTP, e-mail messages infected attached files,..etc..

Symptoms of Infection


This virus produces a payload which can be easily observed by the user upon opening or closing an infected document. This is not the only condition, as the date of the system must read the 14th of any month between June and December. Then, W97M/Class.B will display the following message on the screen:

"I Think <> is a big stupid jerk! VicodinES Loves You / ClassPoppy"

Means of Infection


The virus first saves a copy of itself in ASCII format within the CLASS.SYS file, which had been previously created in the hard disk root directory (C:\).

When any infected document is opened, the virus executes the AutoOpen macro and infects the NORMAL.DOT global template, which will serve as a stepping-stone to infect all other documents that are used by Word from that point onwards.

This virus used stealth techniques. This allows the virus to conceal its presence in order to infect any macros that may be defined in Microsoft Word 97 documents.

__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
16.12.2002, 19:37
Klaus Wagner
zu Gast

Themenstarter
#9 Nochmal danke für eure Hinweise!
Ich habe jetzt auch AntiVir installiert und hoffe, dass es mich in Zukunft vor der einen oder anderen Überraschung bewahrt.

Gruß
Klaus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1