AngelClub_.doc - mit Makrovierus!
 

Tach werte Programiererkolegen!

Habe vor fast einer Woche ein hübsches verwirrendes Mail bekommen, das mir sowas von Spanisch vorgekommen ist, so dass ich deren Anhängsel (AngelClub_.doc) gleich mal (runtergeladen und) auf der HDD "versteckt" habe! Als ich dann den Absender getroffen hatte, konnte ich mir anhören lassen, dass deren PC kaput sei und und und! (technisches Wissen = 0 - Sie kann was sie braucht und mehr will sie nicht)
Jetzt bin ich der riskannte Draufgänger wie immer und muss mich natürlich mit dem Virus anlegen um ihn zu "analysieren", doch traue ich meinem Word nicht!

Darum hätte ich gerne ein (professionelleres als meine "pfusche") Word-Dokument mit einem Makro, das sich ganz auffällig in den Vordergrund drängt und zu signaliesieren, dass der Makro geladen wurde! (Ich trau keinem MS - Programm!!!)

Oder ein Viewer währe auch super - gratis natürlich! ;)

MfG James(018)

Also meine Standard-Verküpfung für .doc, .xsl, ... (auch im Mail-Client) geht auf die entsprechenden Viewer von Microsoft - die führen nämlich keine Makros aus uns sind kostenlos.
Du findest Sie hier: http://search.office.microsoft.com/r...aspx?qu=Viewer

Ah! Danke!!! Ich hoffe, dass ich damit auch Makro´s auslesen kann? Ansonsten muss ein Editor her . . .

Nicht, dass ich wüßte - die Viewer zeigen nur den Inhalt an - aber garantiert virenfrei :cool:

Wenn Du den Macro-Code sehen willst, wirst Du das .doc im Word aufmachen müssen :eek:

MI3 - Jetzt muss ich nur noch an dem neuen Soundtrack arbeiten ;)

Muss wohl ein harmloses Makro-File her . . .

Kann man eigentlioch den vb-editor von excel auch so aufrufen (ohenexcel selbst)? Dann könnte man die Datei ja damit ansehen.

Jak

Glaube ich eher nicht . . .

P.s.: Word ;)

weis ich schon. Aber seit office 2000 haben word, excel & co die selbe Sprache.

Jak

Wenn du das ganze als Modul-File (*.bas) hast dann kannst du es aufmachen womit du willst (ist nur ein text file).

Wenn du es mit word aufmachen willst dann nur mit eingeschaltetem makrovierenschutz in den optionen !!!

Der "entry point" für solche viren ist meist in this document

Private Sub Document_Open()
bla bal bla
End Sub


Wenn du im makrovirenschutz "nicht audsführen" anklickst, das ganze öffnest und dann in obriger routine nachschaust wirst du vermutlich fündig werden. VORSICHT - AUF EIGENE GEFAHR :lol:

cu
(V)uh

Ich weiss!Eben! Das ist ja auch mein Prob! Ich trau dem Word nicht! Ich möchteeine File, mit makro, das sich mit irgend was meldet, wenn das Makro geladen wurde . . .

hmm ... so ein programm kenn ich nicht.
Du kannst versuchen das ganze mit einem anderen schreibprogramm WordPerf, Star Office zu öffnen und zu hoffen dass der code erhalten bleibt aber nicht ausgeführt wird aber ...

Du könntest aber auch folgendes machen um die sicherheit zu erhöhen (neben eingeschaltetem makrovirenschutz).

Nimm einen hex editor (ich kann HackMan Lite empfehlen = freeware)
und ersetze alle open in dem document durch z.B. "Opem"
Damit wird die auto ausführen prozedur umgangen, da nur code in Document_Open beim öffnen ausgeführt wird.

Nachdem das sub aber Document_Opem heisst passiert nix.
Versuch es aber zuerst an einem neutralen document.

Aber experimente mit viren sind immer mit bauchweh verbunden - VORSICHT

cu
(V)uh

HackMan:
"Anleitung":
http://www.geocities.com/hackmansite/hackman/kb/
Download:
Version 5: ftp://ftp.simtel.net/pub/simtelnet/w...r/hack_506.zip
Version 6: http://www.winsite.com/bin/Info?1000000034909

Ich will ja kein eigenes Prog für wasweißich, sondern ein stinknormales Word-Dokument (*.doc), dass ein Makro hat und es beim betrachten ausführt! Wenn eine Meldung beim lesen kommt, dann weiß ich, dass das Makro geladen/ausgeführt wurde. Wenn aber nix kommt, dann kann ich mir in aler Ruhe das Makrovirus-fiele ansehen und über Word den Virus herausfiltern, bzw löschen!

P.s.: Das Doku hab ich schon gesehen! Ist irgendwie scheiße . . .

Warum hast du nicht gleich den ersten satz deines letzten postings gepostet (oder hab ich da was übersehen) ? :D

Kannst du ja auch selber machen so ein *.doc :

1., Word öffnen (neues doc wird angelegt)
2., Alt+F11 (VBA Editor)
3., Im Projekt Explorer (linke seite mit baumstruktur handzuhaben wie datei-explorer) das objekt "ThisDocument" unter "Microsoft Word Objekte" suchen (Achtung wenn mehrere docs geöffnet sind dass du das richtige erwischt).
4., Auf "ThisDocument" doppelklicken => Editorfenster geht auf (texteditor wo man den sourcecode reinschreiben kann)
5., Füge folgende zeilen ein (geht auch über die zwischeneblage aus dem posting hier)

Private Sub Document_Open()
MsgBox "Ich werde geöffnet !!!"
End Sub

6., Klicke auf das diskettensymbol und speichere das document
7., Alles schliessen
8., Document öffnen und ... es sollte beim ausführen die meldung "Ich werde geöffnet !!!" ausgeben.


Schon hast du ein dokument mit makro das beim start ausgeführt wird zum testen. Lt. erster zeile letztes posting wolltest du sowas.
Wenn du nicht klarkommst schick ich dir ne mail mit screenshots.

Hoffe gehelft zu haben

cu
(V)uh

Jou! Danke! Werd´s heute noch (nanona is jo erst 6:46 + Krankenstand) testen!

MfG James(018)

Doku gebastelt und neu geladen . . . nix . . . (?)
Ah Sicherheitsstufen! -> auf minimal gesetzt . . .
Vorgabg wiederhohlt . . . Meldung!
Sicherheitsstufe wieder auf max. erhöht und "Viren-Doku" geladen . . .

Ergebnis: Doku hat keinen Virus . . . (so a schaß!)

Trozdem danke! (wenigstn weiß ich jetzt, dass mein Word sicher ist!)

Gern gscheng.
Bastle aber aus meinem ansatz keinen virus. Sonst stehen sie bald vor meiner tür und sagen ich war anstifter :D

cu
(V)uh

Keine Angst! Den einzigen Virus den ich programieren kann ist eine Batch-fiele mit format c: ;)

Der Witz an der Makrowarnung ist aber, daß man sie mit einem Makro abstellen kann.
(funktionierte zumindest unter office 97)

Jak

VBA ist eine sehr mächtige programmiersprache und du kannst so ziemlich auf alle funktionen der programme (Word, Excel, ...) zugeifen, also auch den makrovierenschutz ausschalten.

Dazu muss aber das makro erst mal laufen und wenn du schon am beginn sagst "nicht ausführen" dann sollte man sicher sein (sollte ... denn es gibt immer hintertürchen und bugs).

cu
(V)uh

Wer weiß, vieleicht gibt es einen Prozedurnamen, der immer geladen wird, sich also nocht wie der "Document_Open()" deaktivieren lässt . . .

Wie gesagt ich traue keinem Makro, Word und am wenigsten, MS!!!