|
VSantivirus No. 137 - Año 4 - Miércoles 22 noviembre de 2000
Nombre: Cobra
Variantes: Cobra.A, Cobra.F, Cobra.Z
Tipo: Virus de macro Word 97 y gusano de e-mail.
Existen tres variantes conocidas de este virus.
Variante: Cobra.A
Cobra.A es un virus de macro de Word 97, que contiene un destructivo "payload" (rutina maliciosa), puede borrar todo su disco C:\.
El virus infecta los documentos de Word, cuando estos son abiertos, cerrados o guardados en el disco. Cuando la fecha actual es 11 de setiembre, y un documento es cerrado, el virus inserta un pequeño código en el módulo "ThisDocument". Este código se activa cuando el usuario sale de Word. En ese momento el virus muestra una ventana con el título
"Cobra" y el siguiente mensaje:
You are infected with Cobra
Cuando se graba un documento con la opción "Guardar como...", Cobra.A crea el módulo adicional "ComCity". Este código se activa cuando un nuevo documento es creado. Si la fecha es 11 de octubre, el virus borra TODOS los archivos de la unidad "C:\".
Variante: Cobra.F
Cobra.F es capaz de enviar mensajes en masa y propagarse vía e-mail, de igual forma que lo hace el Melissa.
La parte principal del código que permite esto, está contenida en el módulo llamado "BornCobra".
Cuando un documento infectado es abierto o cerrado, el virus agrega al registro de Windows, la clave
"Cobra", y cambia el nombre del usuario registrado de Windows por el de
"DHK/BD". Después de ello, se propaga y envía en forma masiva a través del correo electrónico.
Usando el Outlook, el virus envía un mensaje a los primeros 30 usuarios de la libreta de direcciones del programa. El mensaje enviado tiene estas características:
De:
(nombre del usuario infectado)
Asunto:
Important Message From Microsoft Via (nombre del usuario
infectado)
Texto del mensaje:
Important documment
Archivo adjunto: (el documento infectado que es abierto o cerrado en ese momento)
Note que además de la infección, sus datos personales corren grave peligro, ya que puede estar enviando un documento confidencial de su PC, el que en ese momento usted esté usando. La infección en la PC de quien recibe el mensaje, se produce cuando este abre el documento infectado adjunto.
Cobra.F también deshabilita la protección contra virus de macros del Word (menú Herramientas/Macro).
El virus crea otro módulo llamado "Cobra" que contiene una destructiva rutina. Esta se ejecuta cuando un nuevo documento es creado. Si el número del día actual es igual al número del mes (por ejemplo, 11/11, 12/12, 1/1, etc.), serán borradas todas las carpetas (y sus contenidos), del disco C:\, a través de un proceso (en DOS) oculto al usuario.
Variante: Cobra.Z
Esta variante infecta durante la apertura y cierre de un documento, y cada vez que se sale de Word.
El virus utiliza dos módulos: "Cobra_20C" en la plantilla general infectada (NORMAL.DOT), y "NewCobra" (que es igual al anterior), y "MoreInfect" en el documento infectado.
El código de "NewCobra" (y "Cobra_20C"), además de contener las instrucciones usadas para la propagación del virus, al ser ejecutado, primero quita las opciones Herramientas/Macros y Ver/Barra de herramientas. También deshabilita las combinaciones de teclas Alt/F8 y Alt/F11 (las teclas para Herramientas/Macro y el editor de Visual Basic). Luego, extrae la rutina del "payload" destructivo del virus y la coloca en el módulo "MoreInfect".
También modifica el registro de Windows para cambiar el nombre del usuario registrado por el de
"Cobra", y el de la organización, por el de
"349,PB/ER/DHK-1217/BD".
También crea una clave para guardar la fecha de la primera infección. Si el sistema ha estado infectado por más de 60 días, en el momento de crearse un nuevo documento, el virus intenta borrar la lista de archivos recientes de Excel 8.0, pero debido a un error en el código, esta tarea no se cumple.
El virus contiene en su cuerpo el siguiente texto:
'Cobra Version 2.0C
Fuente: análisis de F-Secure.
|
|