XM97/Barisada (Varianten A, B und C)

Diesen Excel-Makrovirus gibt es in verschiedenen Varianten, die sich hauptsächlich durch leicht veränderte Dateinamen unterscheiden: Variante A speichert die Makros in einer Datei HJB.XLS, bei Variante C heisst die Datei KHM.XLS.

Öffnet ein Benutzer eine infizierte Excel-Tabelle, überträgt sich XM97/Barisada auf das System. Entspricht das Systemdatum dem 24. April 14:00 - 15:00 Uhr, zeigt der Virus eine Reihe von Dialogboxen mit Fragen, die offenbar nur Fans eines bestimmten Rollenspieles beantworten können. Beispiel: "What is the Sword Which Karl Styner (=Grey Scavenger) used? Answer: Barisada'.", gefolgt von zwei Schaltflächen "Yes" und "No". Klickt der Benutzer des infizierten PCs die falsche Antwort ("Yes"), erhält er eine zweite Chance. Liegt der Benutzer erneut falsch, löscht der Makrovirus den Inhalt aller Zellen aller geöffneten Tabellenblätter.

In zukünftigen Varianten sind wohl andere Dateinamen als HJB.XLS oder KHM.XLS zu erwarten. Ebenso könnten in neuen Varianten andere "Trigger Conditions" [1] (Bedingungen zum Ausführen des Schadensteils [2]) auftauchen. Weitere Informationen und Screen-Shots finden Sie bei Sophos Antivirus [3].