Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W97M/Cokeboy (Beko.A) Virus de macro y gusano de Internet
 
VSantivirus No. 676 - Año 6 - Martes 14 de mayo de 2002

 W97M/Cokeboy (Beko.A) Virus de macro y gusano de Internet
http://www.vsantivirus.com/cokeboy.htm

Nombre: W97M/Cokeboy (Beko.A)
Tipo: Virus de macro de Word y gusano de Internet
Alias: Word97Macro/Beko.A, W97M/Beko.A, VBS.Beko.A
Fecha: 13/may/02
Modulo: NewMacros
Macros: AutoOpen, InfectWord, FuckProtection, Spread, HelpAbout
Fuentes: Panda, CA

Conocido como Cokeboy o Beko.A, se trata de dos virus en uno. El principal es un virus de macro que infecta documentos de Word 97, 2000 y XP. Este libera un gusano en Visual Basic Script que posee la capacidad de enviar un documento infectado a todas los contactos de la libreta de direcciones de la máquina infectada.

El mensaje posee estas características:

Asunto: COKEBOY

Texto:
A confidential document is for you.. only for u!

Datos adjuntos: (un documento de Word infectado, por lo que puede tener cualquier nombre y tamaño)

Cuando el usuario abre el documento adjunto, el virus toma el control.

Si este documento adjunto se abre un día 29 de cualquier mes, se muestra el siguiente mensaje en pantalla:

CokeBoy.COKEBOY.A
This Document is infected by CokeBoy Worm.COKEBOY
[    Aceptar    ]

Adicionalmente, modifica la opción "Acerca de Microsoft Word" del menú de ayuda (?) de la barra de herramientas de Word. De este modo, cada vez que se accede a esta opción, el mensaje mostrado por el asistente animado será el siguiente:

W97M.Coke2002
W97.Coke2002 by CokeBoy(c)2002
(* Aceptar)

Cuando se pulse el botón Aceptar, el virus aguarda 5000 milisegundos y una de cada diez veces, inserta el siguiente texto en el documento que se encuentre abierto en ese momento (el mismo texto se repite varias veces):

I'm Coke, a bottled drink!! I'm not dangerous. You are being hit by the evil Coke worm! CokeBoy newest drink worm.. you gotta see it! CokeBoy newest drink worm.. you gotta believe it! CokeBoy newest drink worm.. you gotta taste! CokeBoy newest drink worm.. you gotta get it! CokeBoy newest drink worm.. you gotta buy it! CokeBoy newest drink worm.. you gotta try it! CokeBoy newest drink worm.. you gotta drink it! CokeBoy newest drink worm.. you gotta love it!

Cuando se ejecuta, el virus oculta su presencia deshabilitando las siguientes opciones del menú de Word:

1. Herramientas, Opciones, General, Confirmar conversiones al abrir

Los documentos en formatos diferentes a los de Word (por ejemplo .TXT) pueden ser convertidos al formato de Word automáticamente. El usuario no recibe el pedido de confirmación para esta conversión.

2. Herramientas, Opciones, General, Protección antivirus en macros

Los documentos conteniendo macros pueden ser abiertos automáticamente. El usuario no recibe el pedido de confirmación para habilitar o deshabilitar los macros antes de abrir el documento (Word 97). Word 2000 actúa diferente con esta protección, y no es afectado en este caso.

3. Herramientas, Opciones, Guardar, Preguntar si guarda la plantilla normal

El usuario no es consultado para aceptar o no los cambios a la plantilla NORMAL.DOT, siendo estos grabados automáticamente, sin su conocimiento.

Luego, realiza las siguientes acciones:

1. Comprueba si la plantilla NORMAL.DOT se encuentra infectada. Si no lo está, crea el archivo COKE4U.DRV en el raíz de C:\, el cuál contiene el código del virus, y es utilizado al infectar la plantilla NORMAL.DOT.

Luego de esto, el archivo C:\COKE4U.DRV es borrado.

Una vez que la plantilla global ha sido infectada, todos los documentos de Word que sean abiertos serán también infectados.

2. Se crea la carpeta CokeBoy en el directorio Windows (C:\Windows\CokeBoy), y en su interior un archivo .VBS con un nombre de 8 números al azar. Este el gusano usado para la propagación vía e-mail del virus.

3. Se crea la siguiente clave en el registro, para ejecutar el gusano en cada inicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
= C:\Windows\CokeBoy\XXXXXXXX.vbs

Las "XXXXXXXX" representan números al azar, por ejemplo: "65375467.vbs"


Limpieza de un sistema infectado

Ejecute uno o más antivirus actualizados. Recomendamos el uso de F-Macrow, antivirus de F-Prot solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP).

Programa y actualización pueden ser descargados de nuestro sitio: http://www.vsantivirus.com/f-prot.htm

Si ha recibido el virus a través del correo electrónico elimine el mensaje tanto de la bandeja de entrada como de la bandeja de elementos eliminados.

Ejecute uno o más antivirus al día, y borre la carpeta "CokeBoy" si existe:

C:\Windows\CokeBoy

Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la entrada que haga referencia a lo siguiente:

C:\Windows\CokeBoy\XXXXXXXX.vbs

Use "Registro", "Salir" para salir del editor y confirmar los cambios.

Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Medidas complementarias con los macros

En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Word 2000 y XP, vaya a Herramientas, Seguridad, y cambie el nivel a Alto.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS