|
VSantivirus No. 146 - Año 4 - Viernes 1 de diciembre de 2000
Nombre: W97M/Afeto
Tipo: Virus de Macro y Gusano de Internet
Alias: Afeto.A, W97m/Afeto.A, Macro.Word.Afeto.A, Afeto, W97M.Afeto.A@m
Se trata de un nuevo gusano de correo electrónico, que se propaga vía Outlook, pero contiene varias diferencias respecto a otros gusanos actualmente de moda.
No está escrito en Visual Basic Script (VBS), por lo que no depende del Windows Scripting Host para ejecutarse. Llega en un documento de Word adjunto a un mensaje, en forma similar a como lo hace el Melissa (aunque solo funciona bajo Word 2000).
El mensaje incluye una imagen JPG sacada de la computadora de
la víctima (note que cualquier imagen, inluso podría ser
alguna "privada").
El asunto, el cuerpo del mensaje y el nombre del documento adjunto, son diferentes en cada caso, y cada vez que el virus se envía, complicando su identificación.
El gusano no infecta la plantilla NORMAL.DOT y se propaga vía MAPI a través del Outlook.
Para poder enviarse a si mismo en un mensaje infectado, el gusano examina la carpeta "Elementos enviados" del Outlook. Desecha el primer mensaje enviado de la lista, y adjunta el documento infectado a los siguientes ocho mensajes.
El nombre del documento adjunto, está basado en el contenido de mensajes anteriores, de modo que logra confundir a quien lo recibe, puesto que este parecerá ser de quien le enviara un mensaje anterior, y que ahora se lo reenvía, tal vez porque anteriormente se olvidara del adjunto que ahora trae.
El gusano también busca en las unidades de la C: a la I: (si existen), archivos de imágenes en formato JPG, en los primeros niveles de los subdirectorios de cada unidad. Cuando encuentra una imagen la incluye en el documento que envía en el mensaje infectado. Luego, el gusano intentará copiar el documento generado en uno de los directorios raíces de las unidades C: a I:.
El resultado final, es que el gusano llega con un documento adjunto a un mensaje enviado anteriormente. La posibilidad de que el usuario lo abra, es muy alta, como vimos anteriormente, ya que la situación (reenviar un mensaje por habernos olvidado de algún adjunto), es muy común, y aumenta considerablemente el riesgo de infección.
Al abrir el adjunto, el documento infectado muestra el siguiente texto en portugués:
Para voces com afeto.
(Para usted, con afecto)
Note que este texto está en el adjunto, no es visible desde el programa de correo. A su vez el mensaje electrónico recibido, puede tener cualquier contenido, y es imposible descubrir a simple vista que se trata del virus. Además, el nombre del adjunto, también es diferente en cada infección.
Funcionamiento
Cuando se ejecuta, el virus deshabilita la protección de macros del Word (solo funciona con Word 2000). Luego, el virus examina si el documento abierto actualmente tiene menos de 200 Kb. Si ello se cumple, el virus busca todas las imágenes JPG en cada subdirectorio de la computadora infectada, y los ordena por nombre.
Luego, inserta en los documentos adjuntos a los mensajes
enviados, cada imagen encontrada sin que el total de los adjuntos exceda los 50 Kb.
Toma el contenido del "Para:" del cabezal del mensaje más reciente que se haya enviado (bandeja de elementos enviados), y utiliza del segundo al séptimo caracter de este cabezal, para armar el nombre del documento. Por ejemplo:
Para: vsantivirus@videosoft.net.uy
Entonces, el nuevo documento se llamará: santiv.doc
El virus también examina la existencia de las unidades de disco de C a I (en orden inverso, de I a C). Si encuentra alguna, el documento actual es grabado con ese nombre en el directorio raiz.
Por ejemplo: I:\santiv.doc
Luego, el virus abre el Outlook y se envía adjunto a un mensaje. Este mensaje es uno previamente enviado a la misma persona.
Solo actúa si existen más de dos mensajes en la bandeja mencionada, y no se envía al primer mensaje de esa bandeja. Ello se cumple con los primeros nueve mensajes (del segundo al noveno).
Luego de que el mensaje es enviado, el virus borra todo el contenido (excepto el último), de la carpeta de elementos enviados, y también la carpeta de elementos eliminados.
El documento infectado puede ser borrado, ya que no contiene más que el propio virus.
Fuentes: Trend Micro, Computer Associates, F-Secure, Sophos, Symantec.
|
|