Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W97M/Been.A. Virus de macros que borra todo el disco duro
 
VSantivirus No. 430 - Año 5 - Martes 11 de setiembre de 2001

Nombre: W97M/Been.A
Tipo: Virus de macros de Word
Fecha: 27/ago/01

Este virus de macros, infecta documentos y plantillas de Microsoft Word.

Contiene una rutina que se activa en determinada fecha, y la cuál es capaz de borrar archivos y carpetas del disco C.

El virus contiene tres módulos de macro: MSNI, MSDI, y MSNR.

El módulo MSNI examina la presencia del módulo MSDI. Si el mismo no existe, el virus asume que el archivo examinado no está infectado.

Exporta entonces los tres macros a los siguientes archivos:

C:\Windows\Msni.sys (MSNI)
C:\Windows\Msdi.sys (MSDI)
C:\Windows\Msnrsys (MSNR)

Luego, el mismo módulo transfiere el código guardado en MSNI.SYS a la plantilla global NORMAL.DOT.

El módulo MSNR realiza los siguientes cambios en el registro de Windows:

1. En esta clave:

HKEY_CURRENT_USER
Software
Microsoft
Office
8.0
Excel
Microsoft Excel

En la ventana de la derecha, el nombre: "Options6" es cambiado por "Check"

2. En esta clave:

HKEY_USERS
.Default
Software
Microsoft
Office
8.0
Excel
Microsoft Excel

En la ventana de la derecha, el nombre: "Options6" es cambiado por "Whoa"

También cambia los niveles de protección contra virus de macros en el registro. Los documentos conteniendo macros pueden ser abiertos automáticamente. Con los cambios, el usuario no recibe el pedido de confirmación para habilitar o deshabilitar los macros antes de abrir el documento (Word 97).

Finalmente, este módulo copia el código del segundo módulo (MSDI.SYS) a la plantilla global, NORMAL.DOT.

El módulo MSDI copia los tres códigos a todo nuevo documento, pero solo cuando se cierra Word o el documento o la plantilla.

Este módulo también chequea si el día actual corresponde a un viernes 13 (de cualquier mes), y si lo es, ejecuta una instrucción que lanza la utilidad DELTREE, un comando de M-DOS que borra archivos, carpetas y subcarpetas.

Esta rutina no funciona bajo Windows NT, ya que no existe en ese entorno el comando DELTREE.

Como sacar el virus de un sistema infectado

Ejecute uno o más antivirus actualizados. Recomendamos el uso de
F-Macrow, antivirus de F-Prot solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP). Programa y actualización pueden ser descargados de nuestro sitio

En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Word 2000, vaya a Herramientas, Seguridad, y cambie el nivel a Medio o Alto.

Con REGEDIT (Inicio, Ejecutar, REGEDIT + Enter), cambie las claves mencionadas antes, de modo que los nombres "Check" y "Whoa", sean suplantados en ambos casos por "Options6".


Fuente: Symantec Security Response
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS