Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W97M/WMVG.Gen. Virus creados con la utilidad WMVG
 
VSantivirus No. 267 - Año 5 - Domingo 1 de abril de 2001

Nombre: W97M/WMVG.Gen
Tipo: Virus de macros de Word 97/2000
Fecha: 27/mar/01

Esta es la descripción genérica de los virus de macros creados con la utilidad "WalruS Macro Virus Generator (WMVG)". Estos virus pueden ser identificados como W97M.WMVG.Gen (Norton) o Macro Component.

Esta herramienta posee también una opción para generar virus en Visual Basic Script. Estos archivos son identificados como VBS.WMVG.Gen.

La utilidad permite crear diferentes rutinas maliciosas, así como utilizar distintos métodos de propagación.

Un virus creado con el WMVG puede implementar las siguientes acciones en Word:
  • Desactivar el mensaje de advertencia que aparece por defecto cuando se abre un documento conteniendo macros (tengan o no virus).
  • Cualquier cambio realizado a la plantilla global NORMAL.DOT, es grabado automáticamente al disco sin pedir autorización, al salir de Word.
  • Cuando se abre un archivo que no sea un documento (.DOC) o plantilla (.DOT), la caja de diálogo con la opción para convertir el formato original a uno de Word, no aparece nunca.
  • Se deshabilita la "barra de estado".
  • Cuando se intenta cargar un documento, el mensaje recomendando que dicho archivo sea abierto en formato "solo lectura", no aparece.
  • Si se utiliza Word 2000, el nivel de seguridad es puesto en el nivel más bajo, de modo que Word pueda ejecutar cualquier macro sin ninguna consulta al respecto.
  • La combinación de teclas ALT+F11 es deshabilitada. Esto previene llamar al editor de Visual Basic con esta combinación de teclas.

El virus se replica infectando directamente el actual documento abierto y la plantilla NORMAL.DOT, o a través de un archivo temporal:

C:\Windows\Username.sys

Posibles opciones de la familia de virus creados con el WMVG

 Si el usuario infectado se une a un canal de IRC, el gusano envía a otros usuarios conectados al mismo canal, el archivo "README.DOC". Este archivo es una copia del virus, y se guarda por defecto en la carpeta C:\Mirc\Download luego de su descarga.

El usuario infectado puede unirse, al canal de chat #virus, con el nick "Im Infected With A Virus Created By WMVG", sin su consentimiento.

El virus libera (drops) el script en Visual Basic "Backup.vbs":

C:\Windows\Backup.vbs

Además, modifica el registro de Windows, para cargarse en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WMVG = C:\Windows\Backup.vbs

Si se ejecuta este script (al reiniciarse Windows por ejemplo), el virus cambia el nivel de seguridad del Word.

También puede infectar la plantilla de Word, NORMAL.DOT, con el código del virus guardado en esta ubicación:

C:\Windows\Backup.drv

Dependiendo de las opciones seleccionadas, el gusano generado podrá tener algunas de estas rutinas maliciosas:

  • Puede desplegar una ventana de mensajes personalizada automáticamente.
  • Puede intentar abrir o cerrar la bandeja de la lectora continuamente, y cambiar los colores de la paleta actual de Windows, a una selección de colores tomados al azar.
  • Puede borrar el documento activo, e invocar al asistente de Office, usando la configuración definida por el creador del virus.

La condición para la activación de la rutina maliciosa, así como la rutina propiamente dicha, es determinada por el creador del virus.

Como sacar el virus de un sistema infectado

Para borrar manualmente los cambios hechos por el virus, debe realizar los siguientes pasos:

1. Ejecutar uno o dos antivirus al día en modo escaneo, para identificar, reparar o borrar los archivos infectados.

2. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

3. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run

4. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:

"WMVG" "C:\Windows\Backup.vbs"

5. Pinche sobre el nombre "WMVG" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

6. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
WalruS

7. Pinche sobre la carpeta "WalruS" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

10. Pinche en Inicio, Buscar, Archivos o carpetas.

11. Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".

11. En la casilla "Nombre" escriba (o "corte y pegue") los siguientes nombres:

Username.sys, Backup.vbs, Backup.drv

12. Pinche en "Buscar ahora".

13. Si aparece ese archivo, márquelo.

14. Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado.

15. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".

16. En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Word 2000, vaya a Herramientas, Seguridad, y cambie el nivel a Medio o Alto.

17. En Guardar, Opciones, marque "Preguntar si guarda la plantilla normal" o similar.

Fuente: Symantec

 

Copyright 1996-2001 Video Soft BBS