Asunto: AutoSpread
Texto: This confidential document is for you.
Datos adjuntos: (un documento de Word infectado, por lo que puede tener cualquier nombre y tamaño)

Cuando el documento infectado es abierto por Word, el virus oculta su presencia deshabilitando las siguientes opciones del menú de Word:

1. Herramientas, Opciones, General, Confirmar conversiones al abrir

Los documentos en formatos diferentes a los de Word (por ejemplo .TXT) pueden ser convertidos al formato de Word automáticamente. El usuario no recibe el pedido de confirmación para esta conversión.

2. Herramientas, Opciones, General, Protección antivirus en macros

Los documentos conteniendo macros pueden ser abiertos automáticamente. El usuario no recibe el pedido de confirmación para habilitar o deshabilitar los macros antes de abrir el documento (Word 97). Word 2000 actúa diferente con esta protección, y no es afectado en este caso. En ese caso el virus también examina si el Word usado es el 2000 o XP, y cambia la configuración de la seguridad a BAJA, modificando el registro.

3. Herramientas, Opciones, Guardar, Preguntar si guarda la plantilla normal

El usuario no es consultado para aceptar o no los cambios a la plantilla NORMAL.DOT, siendo estos grabados automáticamente, sin su conocimiento.

El virus copia luego el siguiente archivo en el disco, al que usará para sus tareas de propagación:

C:\kitep.drv

También crea un subdirectorio en \Windows\, llamado \AutoSpread

Allí crea la parte del gusano que utiliza para propagarse (VBS.Beko.B).

Para crear este archivo, el virus genera primero un nombre consistente en un número de 8 dígitos al azar y la extensión .VBS (por Ej: 45895128.vbs).

Luego copia el código del virus con ese nombre en la carpeta mencionada, y finalmente modifica el registro, para que el gusano se ejecute al iniciarse Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
= C:\Windows\AutoSpread\[8 números al azar].vbs

Esto ocurre cada vez que un documento infectado es abierto, lo que genera una gran cantidad de archivos con 8 números al azar y extensión .VBS en la carpeta \AutoSpread, con sus correspondientes entradas en la rama mencionada del registro. Esto genera enlentecimientos en los sucesivos inicios de Windows, y posibles errores por escasez de recursos.

Si la fecha del sistema es el día 8 de cualquier mes, se muestra un mensaje con el título "This Document is infected by W97M.[nombre del documento infectado].A" y un texto relacionado.

Por ejemplo, si el documento infectado se llama "Cuento.doc", la ventana muestra el siguiente texto:

W97M.Cuento.A
This Document is infected by W97M.Cuento
[     Aceptar    ]

Si el usuario selecciona la opción "Acerca de Microsoft Word" del menú de ayuda (?) de la barra de herramientas de Word, el virus habilita al asistente animado de Word, y muestra el siguiente mensaje:

W97M.AutoSpread
W97MAutoSpread.A coded
by PetiK (c)2002
(*Aceptar)

Cuando se pulse el botón (*Aceptar), el virus aguarda 5000 milisegundos y una de cada diez veces, inserta el siguiente bloque de texto en el documento que se encuentre abierto en ese momento (el mismo texto se repite varias veces):

Hi guy, You're infected by my virus. It's not dangerous. Refer to AntiVirus site to disinfect your computer. No dangerous payload, large spread, it's coded by PetiK.

El componente VBS/Beko.B, es un gusano en Visual Basic Script que utiliza las funciones del Outlook para enviar un documento infectado a todos los contactos de la libreta de direcciones.

Limpieza de un sistema infectado

Ejecute uno o más antivirus actualizados. Recomendamos el uso de F-Macrow, antivirus de F-Prot solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP).

Programa y actualización pueden ser descargados de nuestro sitio: http://www.vsantivirus.com/f-prot.htm

Si ha recibido el virus a través del correo electrónico elimine el mensaje tanto de la bandeja de entrada como de la bandeja de elementos eliminados.

Ejecute uno o más antivirus al día, y borre la carpeta "AutoSpread" si existe:

C:\Windows\AutoSpread

Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la entrada que haga referencia a lo siguiente:

C:\Windows\AutoSpread\[8 números al azar].vbs

Use "Registro", "Salir" para salir del editor y confirmar los cambios.

Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Medidas complementarias con los macros

En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Word 2000 y XP, vaya a Herramientas, Seguridad, y cambie el nivel a Alto.


Referencias:

VSantivirus No. 676 - 14/may/02
W97M/Cokeboy (Beko.A) Virus de macro y gusano de Internet
http://www.vsantivirus.com/cokeboy.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com