Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: IRC/Zippy.worm, W97M/Surlaw. Dos virus en uno.
 
Sábado 18 de noviembre de 2000

Nombre: IRC/Zippy.worm
Tipo: Gusano de IRC, Trojan
Tamaño: 36,865
Observaciones: Requiere las librerías de Visual Basic 6 para funcionar. Libera el virus de macro W97M/Surlaw

Nombre: W97M/Surlaw
Tipo: Virus de macro
Observaciones: Este virus es liberado por el trojan IRC/Zippy.worm

El gusano IRC/Zippy.worm utiliza los programas mIRC y Pirch, clientes de IRC (Internet Relay Chat), como medio de transporte para infectar a otras máquinas. Además, libera en las máquinas infectadas el virus de macros W97M/Surlaw, por lo que los usuarios que tengan instalado el Word 97 o 2000, serán víctimas además de este otro virus.

Cuando el gusano se ejecuta, una ventana con el título "WinZip" se abre y se lee el mensaje:

Cannot open file: it does not appear to be a valid archive.
If you downloaded this file, try downloading the file again.

Con esto simula ser un archivo .ZIP corrupto, y es lo único sospechoso que verá el usuario infectado.

Luego, el gusano se copia a si mismo en el directorio raíz del disco duro, usando uno de los siguientes nombres:

Document.exe
FunJokes.exe
Game.exe
MyPics.exe
PornPics.exe
PornSite.exe
Zippy.exe

También crea el archivo "EVENTS.INI" en el directorio donde el virus se ejecutó, y en la carpeta "C:\PIRCH98". También sobreescribe con este archivo, el "C:\MIRC\SCRIPT.INI".

Si en la máquina infectada no existen las librerías de Visual Basic 6 (las instalan otros programas), el virus no podrá ejecutarse.

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga en su configuración, deshabilitadas funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC", selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de archivos.

Detalles del virus de macro W97/Surlaw, liberado por IRC/Zippy.worm

W97/Surlaw infecta documentos de Word en Office 97 y 2000, y consiste en un macro de nombre "ThisDocument".

Cuando un documento infectado es abierto, el virus realiza las siguientes acciones:

 * Si el nombre del documento es "Document", el virus no hace nada.

 * Si no lo es, se copia su código en "C:\WalruS.drv".

 * Luego, se copia el código de "C:\WalruS.drv" a la plantilla global "Normal.dot".

 * Deshabilita la pregunta para guardar esta plantilla.

 * Deshabilita la barra de estado de Word.

 * Deshabilita la protección contra macros de Word.

 * Cambia el nombre del usuario registrado de Windows por "WalruS".

 * Si Windows ha estado ejecutándose por más de 5 horas, el documento activo es protegido con una clave (el nombre del usuario), el texto de todo el documento es justificado centrado, y el texto "THE WALRUS" es agregado al final con un tamaño de fuente muy grande.

 * Deshabilita el editor de Visual Basic (Herramientas, Macros, Editor).

 * Finalmente, borra el archivo "C:\WalruS.drv" creado por él al comienzo.

Fuente: McAfee

 

Copyright 1996-2000 Video Soft BBS