Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W97M_Hope.AA. Insulta al usuario y se propaga via IRC
 
VSantivirus No. 207 - Año 5 - Miércoles 31 de enero de 2001

Nombre: W97M_Hope.AA
Tipo: Virus de Macro
Alias: Hope.AA, W97M/Class, W97M.Class, WM97/Hope-AA

Este virus de macros, con características semi-polimórficas (similar al W97M/Class), es capaz de infectar otros documentos, cuando estos son abiertos o cerrados, o cuando se accede al menú de Herramientas, Macros de Office 97.

Sobrescribe el módulo ThisDocument e infecta la plantilla NORMAL.DOT y el documento activo.

Posee una rutina (payload) que se ejecuta el día 14 de cualquier mes de Julio a Diciembre.

El virus intercepta las macros automáticas: AUTOCLOSE(), DOCUMENT_OPEN(), DOCUMENT_CLOSE(), y TOOLSMACRO().

Cuando un documento infectado es abierto o cerrado, y el menú Herramientas, Macros es utilizado, el virus deshabilita las opciones Protección contra virus, confirmación de conversiones y grabar normal. También son eliminadas las opciones Herramientas, Opciones y Herramientas Macros.

También infecta y graba la plantilla NORMAL.DOT, y el documento activo, con una copia del módulo infectado.

El virus comprueba si el número de líneas de la plantilla normal es superior a 70, y la cantidad de módulos del documento activo (si es superior a cero). Si es así, el virus infecta el documento activo cuando este es abierto o cerrado.

Si el número de líneas de NORMAL.DOT es inferior a 70, exporta el módulo infectado (ThisDocument) al archivo C:\CLASS.SYS y entonces infecta a la plantilla global.

Si la fecha del sistema es 14, de cualquier mes de julio a diciembre, se despliega la siguiente caja de mensaje:

VICODINES LOVES YOU / CLASS.POPPY

I THINK [nombre del usuario] IS A BIG STUPID JERK

[   OK   ]

Se insertan también comentarios en el código del modulo, como nombre de usuario, fecha, y la impresora activa. Esto es lo que hace al virus tener características semi-polimórficas.

También intenta copiar un script del mIRC, programa cliente de IRC (Internet Relay Chat), para propagarse a través de los canales de chat, si el mIRC se encuentra en la unidad C:\.

Esto configura al mIRC para propagar el virus a través de la conexión directa (DCC, Direct Cable Connection). Para ello, envía el siguiente mensaje y una copia del virus:

I'M A LITTLE BUSY SO I CAN'T TALK MUCH NOW. I THOUGHT YOU MIGHT WANT TO LOOK AT THIS FILE I GOT. IT HAS A FUNNY STORY AND ALSO HAS MACROS IN IT WHICH GET RID OF ANY MACRO VIRUSES. JUST ENABLE THE MACROS WHEN THE PROMPT COMES UP AND IT WILL SCAN FOR ANY VIRUSES AND CLEAN THEM.

Para borrarlo, cierre el Word y todo documento abierto, busque y elimine el archivo CLASS.SYS, si este existe en C:\, y luego ejecute un antivirus actualizado.

Fuente: Trend Micro

 

Copyright 1996-2001 Video Soft BBS