Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W97M.Cross.Epik. Envía "pings" constantemente
 
VSantivirus No. 254 - Año 5 - Lunes 19 de marzo de 2001

Nombre: W97M.Cross.Epik
Tipo: Virus de macro de Word 97 y 2000
Fecha: 13/mar/01

Este virus de macros, infecta la plantilla NORMAL.DOT, cuando un documento infectado es abierto. Luego es capaz de infectar todos los documentos que sean abiertos. También deshabilita la protección antivirus en macros de Word (97 y 2000).

Es capaz de degradar la performance de la conexión a la red (Internet), y de la propia computadora, al generar hasta 20 sesiones ocultas de PING (1), cada vez que un documento infectado es abierto. Cada sesión envía pings constantemente a determinadas direcciones IP, causando la inestabilidad del sistema e inclusive su caída si se crean demasiadas sesiones.

(1) PING (Packet INternet Groper), es un comando usado en Internet para determinar si se encuentra activa la conexión a una máquina específica, o para averiguar si se puede llegar a ella. Básicamente, Ping envía una pequeña serie de sencillos paquetes de datos (paquetes ICMP (2) de petición y respuesta de eco) a la dirección IP de una máquina, y si esa máquina devuelve los paquetes, se puede considerar a la misma activa y disponible. La expresión fue tomada por asociación con el sonar, el cuál manda un sonido que onomatopéyicamente suena como un 'ping', y cuyo eco al regresar es monitoreado y analizado. Ping también muestra la ruta seguida por los paquetes, y el tiempo empleado en esto, lo que resulta útil para seguimiento de problemas y evaluación de velocidades de conexión, así como para diagnosticar fallos IP de la red o del enrutador (3).

(2) Enrutador (ROUTER), es un dispositivo intermedio en una red de comunicaciones, responsable de tomar decisiones acerca de cuál de las diversas rutas de acceso usará cada mensaje de una red o de Internet. Para ello, un enrutador utiliza un protocolo de enrutamiento con el fin de recopilar información acerca de la red y algoritmos para elegir el mejor enrutamiento.

(3) ICMP, es un protocolo de mensajes de control de Internet. Se trata de una extensión del Protocolo de Internet (IP), permite generar mensajes de error, paquetes de prueba y mensajes informativos relacionados con IP.


W97M.Cross.Epik es un virus polimórfico, que destruye todos los macros existentes en los documentos (guardados en ThisDocument), deshabilita la protección contra virus de macros, y también la opción que pide la confirmación para grabar la planilla global, NORMAL.DOT.

Cuando se abre un documento limpio en un sistema infectado, o un documento infectado en un sistema limpio, y si cualquiera de los dígitos de la hora actual es un 6 (por ejemplo, 22:30:06, 16:02:00, 02:46:50, etc.), el virus despliega un mensaje en una ventana con las siguientes características, y con el icono del signo de interrogación:

Epik
Should I hold my head up high? Or should I break down and cry?
What's your epik?

Luego, el virus abre 10 o 20 sesiones ocultas de pings, las que constantemente enviarán peticiones a las siguientes direcciones IP, con paquetes de 10,000 bytes cada una:

10.66.0.0 (10 sesiones)
10.70.0.0 (20 sesiones)

Después de abrir unos pocos documentos, el virus habrá creado una cantidad importante de tráfico en la red, el cuál solo podrá ser detenido reiniciando la computadora, o terminando todos los procesos PING (con CTRL+ALT+SUPR). Es probable que antes de poder cerrar los procesos abiertos, alguna de las aplicaciones abiertas o el propio Windows se cuelgue por falta de recursos.

El virus contiene el siguiente texto en su código:

Caress the needle brink in my eyes,
the tears felt like rain.
I watch the darkness hit the tides,
and I'm dying...

Epik (c) 1999 [LineZer0 Oldskewl Tribe]
Hit the road jack, don't you come back...no more

Para remover el virus de su sistema, reinicie la computadora, y luego ejecute un antivirus actualizado para remover el virus, limpiando los documentos infectados.

Es conveniente también habilitar la protección antivirus de macros de Word.

En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros".

En Word 2000, vaya a Herramientas, Seguridad, y cambie el nivel a Medio o Alto.

Fuente: Symantec

 

Copyright 1996-2001 Video Soft BBS