|
VSantivirus No. 430 - Año 5 - Martes 11 de setiembre de 2001
Nombre: W97M/Been.A
Tipo: Virus de macros de Word
Fecha: 27/ago/01
Este virus de macros, infecta documentos y plantillas de Microsoft Word.
Contiene una rutina que se activa en determinada fecha, y la cuál es capaz de borrar archivos y carpetas del disco C.
El virus contiene tres módulos de macro: MSNI, MSDI, y
MSNR.
El módulo MSNI examina la presencia del módulo MSDI. Si el mismo no existe, el virus asume que el archivo examinado no está infectado.
Exporta entonces los tres macros a los siguientes archivos:
C:\Windows\Msni.sys (MSNI)
C:\Windows\Msdi.sys (MSDI)
C:\Windows\Msnrsys (MSNR)
Luego, el mismo módulo transfiere el código guardado en
MSNI.SYS a la plantilla global NORMAL.DOT.
El módulo MSNR realiza los siguientes cambios en el registro de Windows:
1. En esta clave:
HKEY_CURRENT_USER
Software
Microsoft
Office
8.0
Excel
Microsoft Excel
En la ventana de la derecha, el nombre:
"Options6" es cambiado por "Check"
2. En esta clave:
HKEY_USERS
.Default
Software
Microsoft
Office
8.0
Excel
Microsoft Excel
En la ventana de la derecha, el nombre:
"Options6" es cambiado por "Whoa"
También cambia los niveles de protección contra virus de macros en el registro. Los documentos conteniendo macros pueden ser abiertos automáticamente. Con los cambios, el usuario no recibe el pedido de confirmación para habilitar o deshabilitar los macros antes de abrir el documento (Word 97).
Finalmente, este módulo copia el código del segundo módulo
(MSDI.SYS) a la plantilla global, NORMAL.DOT.
El módulo MSDI copia los tres códigos a todo nuevo documento, pero solo cuando se cierra Word o el documento o la plantilla.
Este módulo también chequea si el día actual corresponde a un
viernes 13 (de cualquier mes), y si lo es, ejecuta una instrucción que lanza la utilidad
DELTREE, un comando de M-DOS que borra archivos, carpetas y subcarpetas.
Esta rutina no funciona bajo Windows NT, ya que no existe en ese entorno el comando DELTREE.
Como sacar el virus de un sistema infectado
Ejecute uno o más antivirus actualizados. Recomendamos el uso de
F-Macrow, antivirus de F-Prot solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP). Programa y actualización pueden ser descargados de
nuestro sitio
En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla:
"Protección antivirus en macros" y "Confirmar conversiones al
abrir". En Word 2000, vaya a Herramientas, Seguridad, y cambie el nivel a
Medio o Alto.
Con REGEDIT (Inicio, Ejecutar, REGEDIT + Enter), cambie las claves mencionadas antes, de modo que los nombres
"Check" y "Whoa", sean suplantados en ambos casos por
"Options6".
Fuente: Symantec Security Response
(c) Video Soft - http://www.videosoft.net.uy
|
|