Die erfolgreiche Beseitigung eines Macrovirus am Mac
In dem Office-Paket einer befreundeten Mac-Userin hat sich ein Makrovirus eingenistet. Bekannt unter dem Namen W97N.marker.gen, schien er nicht nur in einer Datei zu schlummern, sondern sich sogar zu vermehren. Doch er konnte besiegt werden...
Der ungebetene Gast machte sich bemerkbar, als beim Hin- und Hersenden von Word-Dokumenten die serverseitige Viruskontrolle eines Providers das Versenden ablehnte - wegen Kontamination der Fracht. W97N.marker war der Name, und so unwahrscheinlich es scheint, führte dieser sein Werk auf dem Mac fort! Es war offensichtlich ein Makrovirus, ein in der Office-eigenen Skriptsprache geschriebener Code, der sich die Fehler des Wirtsprogramms zu Nutze machte, um seine eigene (ansonsten unscheinbare) Existenz zu vervielfachen.
1. Internet-Recherche
Falsche Entwarnung: alle Fundstücke über ein Zusammentreffen zwischen Mac und W97N.marker gingen davon aus, dass der Virus-Code sich nicht auf dem Mac ausführen ließe. Sobald die Makro-Warnfunktion in Word jedoch aktiviert war, war auch in komplett neu angelegten, leeren Word-Dokumenten beim erneuten Öffnen eine Makro-Warnung zu lesen. Die bekannten Antivirus-Firmen gaben eine ausführliche Beschreibung über Gefahrenlevel und Verbreitung, sparten wie üblich mit Hinweisen auf eigenständige Beseitigung - könnte ja dem Umsatz im Wege stehen.
2. Antivirus-Software
Clam X AV ist bekannt als gut gepflegtes Antivirus-Programm auf Open-Source-Basis. Es versagte jedoch kläglich bei diesem Test: nachweislich infizierte Dateien ließ Clam X AV unberührt und titulierte sie als sauber. W97N-Makroviren sind schon seit längerem bekannt, und sollten eigentlich zum Standard gehören... aber dafür gibt es eine andere Beschwerdestelle.
3. Interpretation und Auflösung
In den Forenartikeln war die Rede davon, dass W97N.marker.gen die Datei Normal.dot befällt, und somit alle neu angelegten Dokumente infiziert, die als "neues leeres Dokument" angelegt werden.
Nach dem ersten (naheliegenden) Schritt, das MS Office auf den aktuellsten Stand zu bringen, war es als nächstes notwendig, in den Sicherheitseinstellungen den "Makrovirusschutz" zu aktivieren. Diese anscheinend sehr beruhigende Funktion sorgt nur dafür, dass beim Öffnen einer Datei mit Makros, ob sie nun Viren hat oder nicht, eine Warnung erscheint. Da kein normaler Mensch Word-Makros benutzt, ist das aber vollkommen in Ordnung - und hilft bei der Diagnose.
Als Nächstes werden alle Dateien, die in letzter Zeit mit Word geöffnet wurden, in Quarantäne geschickt - in einem Ordner gesammelt und mit Word testweise geöffnet, um zu sehen, ob die Makro-Warnung erscheint. Diese werden anschließend erneut mit TextEdit geöffnet (dafür gibt es Hilfe) und der Text als RTF gespeichert. Die Originale sollten anschließend in den Papierkorb wandern. Schließlich sollte Word beendet und die Datei "Normal" aus dem Ordner "Vorlagen" im Ordner "Microsoft Office" mit in den Papierkorb wandern. Das Entleeren des Papierkorbs beendet den Spuk.
4. Ursachenforschung
Eine merkwürdig anmutende Word-Datei, die vor einiger Zeit heruntergeladen wurde, wird als Überbringer der schlechten Nachricht angesehen. Diese kam als normales doc daher, doch wurde von Finder mit einem ResEdit-Symbol versehen. Das läßt Böses erahnen. Nun denn - sie ist weg!
5. Moral
Liebe Kinder, schaut schnell nach in Euren Einstellungen in Word und Excel, ob der Makrovirusschutz aktiviert ist! Bei standardmäßiger Aktivierung dieser Funktion hätte das Problem schon früher erkannt werden können.