719900

Die Trojanische Kavallerie sprengt heran

Anforderung

Zeitaufwand

Dokumentviren und Registry: Das Gezeter um die Dokumentviren verdirbt mir das Geschäft. Seit Jahren nutze ich mit bestem Erfolg AutoOpen-Makros von Winword -keine Viren freilich, sondern Trojanische Pferde, die das Winword meiner Kollegen für mich arbeiten lassen. Kaum ein Betroffener kam bislang je auf die Idee, seine Makroliste im Menü "Extras, Makros" zu überprüfen. Das hat sich neuerdings leider schlagartig geändert, so daß ich nach neuen und dezenteren Methoden Ausschau halten mußte. Ärgerlicherweise vergißt man gute alte Tricks ziemlich schnell, und so fiel mirdie Lösung meines Problems erst bei der Arbeit mit der alten Windows-Version wieder ein. Dort nutzte ich nämlich bereits die Möglichkeit, mittels DDE-Anweisung der Registrierdatenbank beim Ôffnen von Dateien einen Makrocode zu übergeben. Da solche Makros direkt in der Registry eingetragen sind, tauchen sie nicht in Winword selbst auf. Diese exzellente Tarnung ist der entscheidende Vorteil dieser Methode. Ein gewisser Nachteil ist es andererseits, daß das Makro nur beim Öffnen der Datei mittels Doppelklick oder Drag & Drop funktioniert - also im Explorer oder im Datei-Manager.

Um ein solches verstecktes Makro manuell zu installieren, starte ich zunächst unter Windows 3.1 wie 95 REGEDIT.EXE (in Windows 3.1 mit dem Schalter/v) und suche dort den Eintrag "Word-Document" oder "Word. Document6" -je nach Version. Unter diesem Schlüssel finden sich die Unterschlüssel "shell" und ferner "ifexec" sowie "ddeexec". "ifexec" übergibt DDE-Anweisungen an das nicht aktive Winword, "ddeexec" an die bereits laufende Anwendung. Ich trage hier gewöhnlich jeweils das gleiche ein.Der Makrocode sieht genauso aus wie von Word Basic gewohnt -von zwei Kleinigkeiten abgesehen: "Sub MAIN" und "End Sub" fallen weg, und jede einzelne Codezeile muß zwischen eckigen Klammern stehen. Ein beliebtes Beispiel aus meiner Werkstatt ist das Arbeitsbeschaffungs-Makro "Ersetzen":DateiÖffnen("%1") BearbeitenErsetzen .Suchen = "a",.Ersetzen = "e", .AllesErsetzen BearbeitenErsetzen .Suchen = "t",.Ersetzen = "d", .AllesErsetzen ExtrasDokumentSchützen DateiSpeichernEs bewirkt, daß die angeklickte Datei zuerst ganz normal geöffnet wird. Dann ersetzt der erste Arbeitsschritt jedes "a" in diesem Text durch ein "e", und als zweite Leistung wird jedes "t" gegen ein "d" getauscht. Damit die Freude über diese Arbeit auch bleibend ist, löscht die Zeile "ExtrasDokumentSchützen" die Rückgängig-Liste. Das hat den Vorteil, daß gewitzte Winword-Benutzer zusätzlich durch einen vergeblichen Klick auf das "Rückgängig"-Symbol enttäuscht werden. Die letzte Zeile speichert das Ergebnis und sorgt je nach der Länge des Textes für einige vergnügliche Stunden beim Reparieren. Solche und noch komplexere Registry-Makros manuell auf fremden Rechnern einzutragen ist etwas heikel. Ich bevorzuge hierfür in der Regel das versteckte Einlesen nach bewährter Makro-Manier.

Wie Sie sich wehren -Kommentar der Redaktion Der Hacker nutzt hier ein selbststartendes Anwendungsmakro, um damit einen Regedit-Befehl abzusetzen. Regedit liest dann die gewünschte REG-Datei in die Windows-Datenbank ein. Der Vorgang des Einlesens dauert keine halbe Sekunde, aber es erscheint in jedem Fall eine verdächtige Dialogbox über "erfolgreiche Registrierung". TIP: Die Dialogbox über "erfolgreiche Registrierung" sollten Sie keinesfalls ignorieren: Vielleicht besteht die Möglichkeit, das Makro und vor allem die Registrierdatei ausfindig zu machen. Dann wissen Sie, wohin der Anschlag zielt, und können den unerwünschten Eintrag manuell beseitigen. Falls Sie sich das nicht zutrauen, sollten Sie sich auf alle Fälle eine aktuelle Sicherungskopie von REG. DAT (Windows 3.1x) oder USER. DAT/ SYSTEM. DAT (Windows 95) anlegen, die Sie nach Anschlägen zurückkopieren können.

PC-WELT Marktplatz

719900