Video Soft BBS
Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Macro.Word97.Trojan.Fox. Un troyano ofensivo afecta Word
 
VSantivirus No. 426 - Año 5 - Viernes 7 de setiembre de 2001

Nombre: Macro.Word97.Trojan.Fox
Tipo: Troyano de Word 97
Alias: Vergazo
Fecha: 6/set/01

Es un caballo de Troya capaz de borrar el contenido de documentos de Microsoft Word al abrirse estos (mientras el troyano está activo), y en determinadas fechas.

El contenido de estos archivos, es reemplazado por un mensaje que hace referencia a un reciente informe del presidente mexicano Fox.

Según los primeros reportes, el gusano fue distribuido en forma premeditada a diversos organismos gubernamentales de ese país, en un mensaje con el archivo VERGAZO.COM adjunto.

Este archivo (en realidad un .EXE), comprimido con la utilidad Xceed Absolute Packager v1.1, contiene tres archivos. Dos de ellos son plantillas globales de Office (NORMAL.DOT), y el tercero es un documento de Word (.DOC), conteniendo el macro infectado.

Cuando el archivo se ejecuta (lo hace el usuario con un doble clic sobre él), entonces el troyano se copia a si mismo en la carpeta de Inicio de Windows en español, pero con los atributos de oculto (+H) encendidos.

C:\WINDOWS\Menú Inicio\Programas\Inicio\Sistema.com

Cuando Windows se reinicie, SISTEMA.COM será ejecutado automáticamente.

El troyano también crea una copia de este archivo:

C:\Windows\System\1er informe.doc

La rutina maliciosa del troyano solo se activa entre los meses de setiembre y diciembre, y solo durante los días posteriores al 11 de cada uno de esos meses.

En esas fechas, cuando se ejecuta el troyano, se eliminará el contenido de los documentos abiertos suplantando el mismo por lo siguiente:

     SISTEMA e-MÉXICO

  INTERNET para todos los indios...

      ...aunque no tengan que tragar!!!

            Pinche FOX pendejete!!!

El contenido original de esos documentos, no es recuperable.

La plantilla original no es modificada en absoluto. En cambio, se crean dos nuevas plantillas en las siguientes ubicaciones:

C:\Archivos de programa\Microsoft Office\Office\normal.dot
C:\Archivos de programa\Microsoft Office\Plantillas\normal.dot

Ambas plantillas poseen 39 Kb cada una.

Para eliminar el troyano de un sistema infectado, ejecute un antivirus actualizado.

Luego, desde Inicio, Buscar, Archivos o carpetas, en Nombre escriba lo siguiente:

SISTEMA.COM , NORMAL.DOT

En Buscar en: ingrese Discos duros locales, tilde la casilla "Incluir subcarpetas" y pinche en Buscar ahora.

Si los encuentra, pinche con el botón derecho, y seleccione Eliminar (la plantilla NORMAL.DOT se volverá a crear sola, y además limpia de virus).

El macro del virus tiene en su código el día 2/set/01, fecha que podría ser la de su creación.

Los mensajes que se han enviado con el troyano, son ofensivos.

Aunque este virus no puede transmitirse por si solo vía e-mail, nada impide que pudiera ser enviado en forma premeditada en un mensaje (cómo en los casos reportados recientemente, por lo que se sugiere precaución antes de ejecutar cualquier nuevo archivo recibido por este medio).

El troyano se activa al ser ejecutado por el propio usuario, por lo tanto se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.


Fuente: Kaspersky Antivirus México http://www.avp-mx.com/
(c) Video Soft - http://www.videosoft.net.uy

  

Copyright 1996-2001 Video Soft BBS