Asunto: Hi man, it’s [nombre del usuario]

Texto:
This is the new net Story
It‘s great

Datos adjuntos: Maya.doc

Donde [nombre del usuario] corresponde al nombre del usuario infectado, pudiendo variar por lo tanto en cada envío.

El virus utiliza Microsoft Outlook (Outlook y Outlook Express) para propagar copias de si mismo vía e-mail, y no infecta ningún documento de Word u otros archivos.

Utiliza tres macros:

AutoOpen
AutoClose
ViewVBCode

AutoOpen

Con este macro, el virus modifica las siguientes propiedades del archivo MAYA.DOC:

Autor: PetiK
Título: W97M.Maya
Comentario: To my best GirlFriend
Palabras clave: Maya, Bzzbzz, to grow

Estos valores aparecen (excepto las palabras clave), cuando el puntero del mouse se coloca sobre el archivo MAYA.DOC.

Cuando se ejecuta, el virus busca la existencia del valor "W97M.Maya" en la siguiente rama del registro:

HKEY_LOCAL_MACHINE\Software\

Si dicho valor no existe, se copia a si mismo como MAYA.DOC en el directorio de Windows:

C:\Windows\MAYA.DOC

También crea un directorio "Maya" en el raíz del disco C y copia allí el archivo HELLO.TXT:

C:\Maya\HELLO.TXT

Este último archivo contiene el siguiente texto:

Le 29 mai 2001 à Munster
This is my first W97M.Outlook.Worm
Its name is W97M.Maya

Crea luego en el mismo directorio (C:\Maya) un archivo SCRIPT.INI de 101 bytes el cuál contiene las instrucciones para infectar los canales de IRC que pueda visitar el usuario utilizando el cliente mIRC. Para ello copia el SCRIPT.INI en las siguientes ubicaciones, sobrescribiendo el archivo original si allí existiera:

C:\mirc\
C:\mirc32\
C:\Program Files\mirc\
C:\Program Files\mirc32\

El script utiliza DCC (Direct Client to Client) para enviar una copia del virus (el propio MAYA.DOC) a otros usuarios participantes de los mismos canales de chat.

Después, modifica el registro de Windows en la siguiente clave:

HKEY_LOCAL_MACHINE\Software\
W97M.Maya = Par PetiK

El virus hace uso de rutinas MAPI (Messaging Application Programming Interface) y de aplicaciones Microsoft Outlook para enviar un mensaje igual al descripto más arriba a todos los contactos de la libreta de direcciones de Windows (.WAB).

AutoClose

Este macro es activado el día 5 de cualquier mes. Si en esa fecha se ejecuta el virus, y el usuario infectado cierra el documento MAYA.DOC, se despliega una ventana de mensajes con el siguiente texto:

W97M.Maya
"Coded by PetiK (c)2001"

ViewVBCode

Cuando el usuario infectado abre el documento MAYA.DOC, y accede a la opción del editor del Visual Basic en Herramientas/Macros de Word, se muestra otra ventana de mensajes con el siguiente texto:

W97M.Maya
Curiosity is bad
With her small size
Maya is alwayas there

También se modifica la siguiente clave del registro para deshabilitar el mouse:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MayAttack = "rundll32 mouse,disable"

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos que usted ha pedido, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.


Como sacar el virus de un sistema infectado

Ejecute uno o más antivirus actualizados. Recomendamos el uso de F-Macrow, antivirus de F-Prot solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP).

Programa y actualización pueden ser descargados de nuestro sitio: http://www.vsantivirus.com/f-prot.htm


Medidas complementarias con los macros

En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Word 2000 y XP, vaya a Herramientas, Seguridad, y cambie el nivel a Alto.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com