[ WordMacro.Tele ]

 VIRUSNAME:      Tele, Telefonica (noch kein CARO-Name vorhanden)
 VIRUSTYP:       Microsoft Word Makro-Virus
 INFIZIERT:      Microsoft Word Vorlagen
 GROESSE:        22256 Bytes
 SYMPTOME:       Text wird Dateien beim Drucken hinzugefgt, Infektion des
                  Systems mit Kampana.3784
 REINIGUNG:      Viren-Makros aus infizierten Dokumenten lschen

<Tele> ist ein weiterer deutscher Makro-Virus und basiert hchstwahrschein-
lich auf lteren Viren wie <Xenixos>. Die 7 Makros von <Tele> sind insgesamt
22256 Bytes gro und liegen in verschlsselter Form vor (Execute-Only):

"AutoExec"
"AutoOpen"
"DateiBeenden"
"DateiDrucken"
"DateiNeu"
"Dateiffnen"
"Telefonica"

Das Makro "AutoExec" enthlt den Programmteil fr die Infektion der globalen
Makrovorlage NORMAL.DOT. Diese wird nicht infiziert wenn in der WIN.INI unter
"Compability" der String "0x0030303" gleich "LBYNJ" gesetzt ist. Das Makros
"AutoExec" ruft seinerseits die Schadensfunktion im Makro "Telefonica" auf.

"AutoOpen" start lediglich "AutoExec", was bedeutet das NORMAL.DOT beim
ffnen eines infizierten Dokuments oder beim Start von Word infiziert wird.
Der Virus benutzt den Makronamen "Telefonica" als Selbsterkennung und
infiziert die globale Vorlage nicht wenn dieses Makro bereits vorhanden ist.
Whrend der Infektion wird die Option "AutoMakrosUnterdrcken" ausgeschaltet,
damit werden also Makros wie "AutoOpen" wieder automatisch ausgefhrt.

Weitere Dokumente werden von <Tele> beim Aufruf der Makros "DateiBeenden",
"DateiNeu" und "Dateiffnen" infiziert, wobei am Ende von "Dateiffnen"
wieder das Makro "Telefonica" aufgerufen wird. Dokumente werden intern in
Vorlagen umgewandelt bevor sie infiziert werden.

Die erste Schadensfunktion des Virus befindet sich im Makro "DateiDrucken".
Wird ein Dokument gedruckt und ist die Sekundenzahl der aktuelle Uhrzeit
kleiner 10 wird vor dem Drucken am Dateiende der folgende Text angefgt:

"                   Lucifer by Nightmare Joker (1996)                       "

Die zweite Schadensfunktion wird ber das Makro "Telefonica" aktiviert wenn
das Sekundenfeld der aktuellen Uhrzeit 0 oder 1 ist ("Telefonica" wird von
"AutoOpen", "AutoExec" und "Dateiffnen" aufgerufen). Tritt diese Bedingung
ein erzeugt <Tele> in "C:\DOS" eine Datei mit dem Namen "TELEFONI.SCR", die
ein Debug-Script des DOS-Virus <Kampana.3784> enthlt. Nach dem Erzeugen der
.SCR-Datei wird eine Batchdatei erzeugt und ausgefhrt. "TELEFONI.BAT" ruft
den DOS-Befehl C:\DOS\DEBUG.EXE auf um das Debug-Script in einen lauffhigen
Binrcode umzuwandeln und startet danach den DOS-Virus.



