| |
VSantivirus No. 224 - Año 5 - Sábado 17 de febrero de 2001
Nombre: O97M.Hopper.V
Tipo: Virus de macro
Alias: Macro.Office.Hopper.n, X97M/Hopper.r
Fecha: 13/feb/01
O97M.Hopper.V es un virus de macro con características STEALTH (de ocultamiento). Infecta documentos de Word y Excel. Dependiendo del día del mes, es capaz de modificar datos o configuraciones en el documento de Word o los libros de Office.
Infección en Excel
Al infectarse un libro de trabajo, el archivo Book1 es guardado en la carpeta de Inicio del Excel
(\Microsoft Office\Office\InicioXL). Luego, el virus infecta la plantilla
NORMAL.DOT de Word.
Las acciones del virus en documentos de Excel son las siguientes:
Si el día del mes es 1, existen 1 de 10 posibilidades que a las primeras 10 celdas seleccionadas al azar entre las primeras 100 filas y 100 columnas, se les agregue el comentario
"Cross.BadSeed v0.41".
Si el día del mes es 10, existen 1 de 3 posibilidades que el contenido de los primeras 150 pares de celdas, sean intercambiados entre sí. Estas celdas son seleccionadas desde la columna 2 a la columna 16, y de la fila 10 a la 209.
Si el día del mes es 15, el nombre del autor del documento es cambiado por el de
"1nternal" (note que el primer caracter es
el número "1" y no la letra
"L"minúscula ni la "i" mayúscula).
Si el día del mes es 20, existen 1 de 5 posibilidades que en la barra de estado se muestre el texto:
"Cross.BadSeed v0.41 /1nternal"
Infección en Word
Si usted cierra un documento infectado, el virus se oculta, desactivando las siguientes opciones:
Guardar, Guardar como..., Confirmar conversiones al abrir y
Protección antivirus en macros. El virus examina la plantilla
NORMAL.DOT, y si no está infectada, la infecta, copiando su código desde el documento activo a la plantilla
NORMAL.DOT.
Luego, la carpeta de inicio de Excel (\Microsoft
Office\Office\InicioXL), es examinada por la presencia de un libro de trabajo infectado.
Si el archivo no existe, la protección antivirus en macros es desactivada modificando el registro de Windows. Luego se copia el archivo
Book1 en \Microsoft Office\Office\InicioXL y luego éste archivo es infectado.
Después que la plantilla NORMAL.DOT es infectada, el documento activo es inspeccionado. Si no está infectado, el virus copia el código desde
NORMAL.DOT al documento activo.
Las acciones del virus en documentos de Word son las siguientes:
Si el día del mes es 1, existen 1 de 10 oportunidades para que el carácter "I" ("i" mayúsculas), sea cambiado por el número "1" en el documento activo.
Si el día del mes es 5, existen 1 de 10 posibilidades que todas las apariciones de la palabra
"not" en el documento activo sean borradas.
Si el día del mes es 10, existen 1 de 15 chances para que el Asistente de Office se active, mostrando el siguiente mensaje:
Cross.BadSeed v0.41
Programmer: 1nternal
Class Infection: VicodenES
ActiveX Concept: 1nternal
Book1. Concept: VicodenES
1nternal also wishes to thank all contributors and
supporters which have made Cross.BadSeed possible.
Si el día del mes es 15, existen 1 de 10 oportunidades para que el virus intente conectarse al sitio
http://www.sourceofkaos.com/homes/1nternal
Si el día del mes es 20, existen 1 de 5 chances que la barra de estado muestre el mensaje
"Cross.BadSeed v0.41 /1nternal."
Fuente: Symantec
|
|
