Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
W97/Hopel.A. Virus de macros con carga destructiva
 
VSantivirus No. 956 - Año 7 - Martes 18 de febrero de 2003

 W97/Hopel.A. Virus de macros con carga destructiva
http://www.vsantivirus.com/hopel-a.htm

Nombre: W97/Hopel.A
Tipo: Virus de macros Word 97/2000
Alias: Word97Macro/Hopel.A, W97M/Hopel, Word97Macro/Hopel.A, W97M.Hopel.A
Fecha: 17/feb/03
Plataforma: Windows 32-bits
Módulos: Pukka
Macros: ChangeInfo, havoc, FileOpen, FileClose, DocClose, FileSaveAs, FileSave, FileNew, FileNewDefault, FilePrintDefault, FilePrint, prnt, FilePageSetup, fuckup, rmvs, ToolsMacro, ToolsRecordMacroToggle, ViewVBCode, FileTemplates, ToolsOptions, HelpAbout, MyMacroOpen, AddKey, AutoOpen, AutoClose, AutoExit, FileExit, AutoExec, CreateLoader, mkautof, rmvcode, decode1, RemoveMacro, Pukka2
Funciones: shield, shield2, hasmarker, chkmytime, DeCode


Es un complejo virus de macros, que infecta documentos y plantillas de Word 97 y 2000. Posee una rutina maliciosa que renombra archivos importantes del sistema si se dan ciertas condiciones.

Cuando se ejecuta, el virus oculta su presencia deshabilitando las siguientes opciones del menú:

1. Herramientas, Opciones, General, Confirmar conversiones al abrir

Los documentos en formatos diferentes a los de Word (por ejemplo .TXT) pueden ser convertidos al formato de Word automáticamente. El usuario no recibe el pedido de confirmación para esta conversión.

2. Herramientas, Opciones, General, Protección antivirus en macros

Los documentos conteniendo macros pueden ser abiertos automáticamente. El usuario no recibe el pedido de confirmación para habilitar o deshabilitar los macros antes de abrir el documento (Word 97). Word 2000 actúa diferente con esta protección, y no es afectado en este caso. En ese caso el virus también examina si el Word usado es el 2000 o XP, y cambia la configuración de la seguridad a BAJA, modificando el registro.

3. Herramientas, Opciones, Guardar, Preguntar si guarda la plantilla normal

El usuario no es consultado para aceptar o no los cambios a la plantilla NORMAL.DOT, siendo estos grabados automáticamente, sin su conocimiento.

Cuando un usuario abre un documento infectado, el virus primero examina si contiene el módulo "Stinger" usado por el virus W97/Sting (ver http://www.vsantivirus.com/sting.htm), tanto en el documento activo como en la plantilla NORMAL.DOT.

Si lo encuentra, el virus borra dicho módulo. Luego desencripta una sección de su propio código y reemplaza los macros "RemoveMacro" y "Pukka2" por este código.

Examina luego la carpeta "c:\windows\system" en busca del archivo "jhj.vxd". Si éste existe, el virus borra el módulo "Pukka" del documento activo y de la plantilla NORMAL.DOT.

El virus agrega un acceso rápido (CTRL+ALT+J) para ejecutar el macro "MyMacroOpen". Cuando el usuario pulsa esa combinación de teclas, el gusano muestra una ventana para ingresar una contraseña: 
View Pukka's Viral Code

Enter password          [   OK   ]
                                 [ Cancel ]

[                                              ]

Si el usuario entra la contraseña correcta (la misma es "100701"), el editor de Visual Basic es abierto.

Cuando el usuario sale de Word, el virus comprueba la existencia de los siguientes archivos:

c:\windows\system\jhj.vxd
c:\windows\system\cripple.vxd
c:\windows\system\shelter.vxd

En el primer caso, hace lo mismo que antes: si existe "jhj.vxd", el virus borra el módulo "Pukka" del documento activo y de la plantilla NORMAL.DOT.

Si los demás archivos no existen, y existe la siguiente entrada en el registro:

HKCU\Software\Microsoft\Office\9.0\Word\Settings\pukka

Y si además la entrada "Pukka" no tiene el valor "OK", el virus modifica las siguientes entradas:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
RegisteredOrganization = HOPELOSJAVSI
RegisteredOwner = PUKKA

Si la fecha del sistema es 21 de octubre, el virus modifica los siguientes valores del registro:

HKU\.Default\Control Panel\International
s1159 = PUKKA
s2359 = PUKKA

En ese caso, la hora en la bandeja del sistema aparecerá así:

7:36 PUKKA

Si la fecha es cualquier otra, el virus borra dichos valores, mostrándose los valores por defecto (esto solo en una configuración de horario tipo AM/PM), por ejemplo:

7:36 AM

Luego, el virus ejecuta su rutina maliciosa, de acuerdo a la fecha y otros criterios predefinidos. Existen 1 de 22 posibilidades de ejecutar esta en un determinado día de la semana. Se asume que el primer día es el domingo (eso es así en la configuración por defecto):

Domingo:

El virus quita los controles 4, 6 y 8 de la barra de herramientas y del menú Formato.

Lunes:

Borra el archivo "c:\windows\system\epson9.drv" y renombra "c:\windows\system\netbeui.vxd" como "c:\windows\system\iuebten.vxd".

O renombra "c:\windows\command\command.com" como "c:\windows\command\dnammoc.com" y "c:\command.com" como "c:\dnammoc.com".

O agrega la clave "HKU\.Default\Control Panel\International\sDecimal = $" y renombra "c:\windows\system\mouse.drv" como "c:\windows\system\esuom.drv".

O cambia la contraseña del documento por la siguiente: "013000".

Martes:

El virus renombra "c:\windows\system\cm8330.drv" como "c:\windows\system\0338mc.drv", y "c:\windows\system\cm8330.vxd" como "c:\windows\system\0338mc.vxd".

O renombra "c:\windows\system\vmm32.vxd" como "c:\windows\system\23mmv.vxd".

O cambia la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\MS-DOSOptions\DOSSettings
Config.Sys = DOS=SINGLE

O cambia la página de configuración.

Miércoles:

El virus renombra "c:\windows\system\sis597m.drv" como "c:\windows\system\m795sis.drv", "c:\windows\system\sis597m.vxd" como "c:\windows\system\m795sis.vxd" y "c:\windows\explorer.exe" como "c:\windows\rerolpxe.exe".

O renombra "c:\windows\system\vmm32.vxd" como "c:\windows\system\23mmv.vxd".

O cambia la clave del documento por la siguiente: "013000".

O cambia la página de configuración.

O puede mover un texto alrededor del documento.

Jueves:

El virus renombra "c:\windows\system\dplay.dll" como "c:\windows\system\yalpd.dll", y "c:\windows\system\dplayx.dll" como "c:\windows\system\xyalpd.dll".

O cambia la página de configuración de manera que las barras de desplazamiento no se muestren.

Cambia el valor de autocorrección de "the" por " ""^o^"" " (esto no causa efecto en la versión en español de Word.

O cambia la clave del documento por la siguiente: "013000".

Viernes:

El virus puede renombrar el archivo "c:\windows\system\sage.dll" como "c:\windows\system\egas.dll".

O cambia algunos valores en la configuración de la impresora

O deshabilita las opciones "Formato" y "Estándar".

Sábado:

El virus renombra "c:\windows\system\comdlg32.dll" como "c:\windows\system\23gldmoc.dll".

Además, existen 3 de 22 oportunidades de renombrar los siguientes archivos:

"c:\windows\system\ndis.vxd" como "c:\windows\system\sidn.vxd"
"c:\windows\system\nwlink.vxd" como "c:\windows\system\knilwn.vxd"
"c:\windows\system\vredir.vxd" como "c:\windows\system\riderv.vxd"

Cuando un usuario selecciona el menú "Ayuda", "Acerca de...", una ventana con el siguiente texto es mostrada:

Hacker's Information
HOPELOSJAVSI
(E-mail: pukka_jhj@yahoo.com)
[    OK    ]

El código del virus contiene el siguiente comentario, que no es visualizado en ningún momento:

'jhj
' Date Created: October 21, 1997
' Created By : Pukka J'


Como limpiar documentos de Word infectados

Ejecute uno o más antivirus actualizados con las últimas definiciones. Recomendamos el uso de F-Macrow, antivirus de F-Prot solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP).

Programa y actualización pueden ser descargados de nuestro sitio: http://www.vsantivirus.com/f-prot.htm


Medidas complementarias con los macros

En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Word 2000 y XP, vaya a Herramientas, Macro, Seguridad, y cambie el nivel a Alto.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Office
\9.0
\Word
\Settings
\pukka

3. Pinche en la carpeta "pukka" y bórrela.

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion

5. Pinche en la carpeta "CurrentVersion" y cambie los siguientes valores:

RegisteredOrganization = (nombre organización o nada)
RegisteredOwner = (nombre del usuario registrado)

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_USERS
\.DEFAULT
\Control Panel
\International

7. Pinche en la carpeta "International" y borre los siguientes valores:

s1159
s2359

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS