Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Alcarys.C (W32/Palco.A). Falso anti-macros maliciosos
 
VSantivirus No. 602 - Año 6 - Viernes 1 de marzo de 2002

 W32/Alcarys.C (W32/Palco.A). Falso anti-macros maliciosos
http://www.vsantivirus.com/palco-a.htm

Nombre:  W32/Alcarys.C (W32/Palco.A)
Tipo: Virus y Virus de macro
Alias: W32.Palco.A, W97M.Palco.A, Palco, W97/Alcarys.C
Fecha: 28/feb/02
Plataforma: Windows
Tamaño: 6656 bytes
Fuente: Symantec

Este virus intenta hacerse pasar por una supuesta protección contra macros maliciosos. Cuando se ejecuta por medio de nuestra acción (doble clic sobre el ejecutable), el virus inserta en la plantilla por defecto de Word, NORMAL.DOT, un componente llamado módulo de macro.

Dicho código inserta otros dos componentes en cada documento de Word cada vez que el mismo es cerrado. Estos componentes son un ejecutable del virus y un macro que ejecuta al componente anterior.

Escrito en Visual Basic, W32/Alcarys.C está comprimido con una utilidad, y su tamaño una vez descomprimido es de 27 Kb.

Cuando el virus en un documento Word se ejecuta, se realizan las siguientes acciones:

1. Se busca la plantilla NORMAL.DOT y se inserta en ella un módulo de macros que se ejecuta cada vez que un documento es cerrado.

2. Se despliega este mensaje:

anti-malicious macros version 1.0 installed

Cada vez que el macro insertado en NORMAL.DOT es ejecutado, se llevan a cabo las siguientes acciones:

1. Se genera un archivo XPLOIT.TXT en el raíz de C (C:\Xploit.txt), el cuál contiene el código viral de un macro.

2. El código del macro contenido en XPLOIT.TXT es copiado en el documento activo.

3. Inserta el componente ejecutable del virus en el documento activo. El macro insertado en el punto 2, automáticamente causa que el componente ejecutable sea corrido cada vez que un documento infectado es abierto por Word.

Como sacar el virus de un sistema infectado

Ejecute uno o más antivirus actualizados. Recomendamos el uso de F-Macrow, antivirus de F-Prot solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP).

Programa y actualización pueden ser descargados de nuestro sitio: http://www.vsantivirus.com/f-prot.htm

Al utilizar el antivirus, tenga en cuenta lo siguiente:

Los archivos detectados como W32/Alcarys.C (W32/Palco.A), deben ser borrados
Los archivos detectados como W97M/Alcarys.C (W97M/Palco.A), pueden ser reparados

Medidas complementarias con los macros

En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Word 2000 y XP, vaya a Herramientas, Seguridad, y cambie el nivel a Alto.


Modificaciones:

8/mar/02 - Se modifica el nombre del virus (ahora W32/Alcarys.C, antes W32/Palco.A)


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS