| |
VSantivirus No. 457 - Año 5 - Lunes 8 de octubre 2001
Nombre: W97/Marker.AH
Tipo: Virus de macros Word 97/2000
Alias: Word97Macro/Marker.AH
Módulo: ThisDocument
Macros: Document_Close, Document_New, Document_Open
Este virus de macros, se caracteriza por un molesto "payload" (rutina maliciosa), y se propaga en Word 97 y 2000, cada vez que un documento es cerrado.
Cuando el usuario abre un documento infectado, se activa el evento
"Document_Open", y el virus examina si existe una infección previa, buscando la siguiente cadena tanto en el documento activo, como en la plantilla
NORMAL.DOT:
:-D you are marked!
Luego de ello, el virus oculta su presencia deshabilitando las siguientes opciones del menú:
1. Herramientas, Opciones, General, Confirmar conversiones al abrir
Los documentos en formatos diferentes a los de Word (por ejemplo .TXT) pueden ser convertidos al formato de Word automáticamente. El usuario no recibe el pedido de confirmación para esta conversión.
2. Herramientas, Opciones, General, Protección antivirus en macros
Los documentos conteniendo macros pueden ser abiertos automáticamente. El usuario no recibe el pedido de confirmación para habilitar o deshabilitar los macros antes de abrir el documento (Word 97). Word 2000 actúa diferente esta protección, y no es afectado en este caso.
3. Herramientas, Opciones, Guardar, Preguntar si guarda la plantilla normal
El usuario no es consultado para aceptar o no los cambios a la plantilla
NORMAL.DOT, siendo estos grabados automáticamente, sin su conocimiento.
Estas acciones son realizadas cuando los eventos "Document_Close" y
"Document_New" (cerrar documento y nuevo documento), son activados.
Además, cada subrutina incluye una rutina que se activa si la fecha del sistema es cualquiera entre las fechas
23 y 31 de julio.
Si el virus no encuentra la infección en la plantilla NORMAL.DOT, entonces borra todas las macros definidas por el usuario, aun cuando no llegue a infectar ningún documento.
Luego, el virus verifica la fecha actual del sistema. Si la misma está en el rango especificado antes, entonces se despliega la siguiente ventana de texto:
Microsoft Word
Did You Wish Shankar on his Birthday ?
[ Si ] [ No ]
Si el usuario pincha en cualquiera de los dos botones (Si o No), la ventana desaparece y el control vuelve al documento activo.
Cuando este documento es cerrado, activándose el evento
"Document_Close", el virus vuelve a verificar la fecha, y si está en el rango mencionado, entonces cambia la barra del título de Word por la siguiente (truncada en la "m", presumiblemente de "me"):
Happy Birthday Shankar-25th July.The World may Forget but not m
Luego, muestra la misma ventana ya vista:
Microsoft Word
Did You Wish Shankar on his Birthday ?
[ Si ] [ No ]
Entonces, si el usuario pincha en el botón [ Si ], muestra esta otra ventana:
Microsoft Word
Thank You! I Love You. You are wonderfull.
[ Aceptar ]
Cuando el usuario pincha en el botón [
Aceptar ], el documento es cerrado.
Si por el contrario, en el mensaje anterior ("Did You Wish Shankar on his Birthday ?"), el usuario pinchó en el botón [ No ], se mostrará la siguiente ventana:
Microsoft Word
You are Heart Less.
You Will Be Punished For This
[ Aceptar ]
Si el documento activo está infectado, y no lo está la plantilla
NORMAL.DOT, el virus borra todos los macros del usuario, y los reemplaza por su propio código, usando el método
"AddFromString".
Del mismo modo, si la plantilla ya estuviera infectada, pero no lo estuviera el documento activo, usa el mismo método con el documento.
En ambos la información en Archivo, Propiedades, Resumen, será cambiada por la siguiente:
Título: Are You sprised ?
Asunto: Birthday
Autor: LSK
Director:
Compañía:
Categoría:
Palabras clave: Birthday
Comentario: Shankar's Birthday falls on 25th July. Don't Forget to wish him
El virus graba los cambios al documento y a la plantilla al disco, sin advertirlo al usuario.
Cuando un usuario crea un nuevo documento basado en la plantilla
NORMAL.DOT, ejecutando el evento "Document_New", el virus realiza el mismo examen en busca de una infección. Si la plantilla
NORMAL.DOT no está infectada, entonces borra todos los macros del usuario.
Del mismo modo, si el documento no está infectado, el virus borra todos los macros definidos en el mismo.
Si la fecha actual se encuentra en el rango ya especificado, el virus agrega al nuevo documento con grandes letras verdes y un efecto de animación aplicado.
El código de este virus contiene un macro
"AutoOpen" que corresponde al virus de macros
W97M/Beast.41472.A (W32/Beast y W97/Beast, un complejo virus con componentes EXE y de Word), el cuál no se activa debido a que se encuentra comentado.
Como sacar el virus de un sistema infectado
Ejecute uno o más antivirus actualizados. Recomendamos el uso de F-Macrow, antivirus de F-Prot solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP). Programa y actualización pueden ser descargados de nuestro sitio:
http://www.vsantivirus.com/f-prot.htm
En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla:
"Protección antivirus en macros" y "Confirmar conversiones al
abrir". Vaya a Guardar, Opciones, y marque "Preguntar si guarda la plantilla
normal". En Word 2000, vaya a Herramientas, Seguridad, y cambie el nivel a
Medio o Alto.
Fuente: Computer Associates
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
