|
VSantivirus No. 1010, Año 7, Domingo 13 de abril de 2003
WM97/Jaja. Borra documentos al imprimir. Formatea disco
http://www.vsantivirus.com/jaja.htm
Nombre: WM97/Jaja
Tipo: Virus de macro Word 97
Alias: Macro.Word.Jaja
Fecha: 7/mar/00, 14/abr/03
Este virus de macro se haya encriptado y está formado por 10 macros diferentes:
AutoOpen
FileOpen
FileSaveAs
FilePrint
ToolsMacro
FileTemplates
FormatStyle
ViewToolbars
ToolsCustomize
VictorWidjaja
Cuando un documento infectado es abierto (AutoOpen), el virus infecta el área global de macros.
Luego se copia a si mismo a los documentos que son abiertos (FileOpen) o grabados con un nuevo nombre (FileSaveAs).
Los macros "ToolsMacro" y "FileTemplates" son los macros que deshabilitan las correspondientes opciones del menú de Word:
1. Herramientas, Opciones, General, Confirmar conversiones al abrir
Los documentos en formatos diferentes a los de Word (por ejemplo .TXT) pueden ser convertidos al formato de Word automáticamente. El usuario no recibe el pedido de confirmación para esta conversión.
2. Herramientas, Opciones, General, Protección antivirus en macros
Los documentos conteniendo macros pueden ser abiertos automáticamente. El usuario no recibe el pedido de confirmación para habilitar o deshabilitar los macros antes de abrir el documento (Word 97). Word 2000 actúa diferente con esta protección, y no es afectado en este caso. En ese caso el virus también examina si el Word usado es el 2000 o XP, y cambia la configuración de la seguridad a BAJA, modificando el registro.
3. Herramientas, Opciones, Guardar, Preguntar si guarda la plantilla normal
El usuario no es consultado para aceptar o no los cambios a la plantilla NORMAL.DOT, siendo estos grabados automáticamente, sin su conocimiento.
Al imprimir un documento (FilePrint), el virus borra el contenido del documento e inserta el siguiente mensaje:
+----------------------------------------------------------+
| Welcome to Victor Widjaja Virus |
| Your computer has been totally infected by ''Victor Widja|
| ja'' WordMacro Virus |
| Don't go anywhere !!! |
| I'll be back soon to DESTROY your disk data !! |
| Copyright 1996 Virus Research Labs. |
+----------------------------------------------------------+
Luego, el virus muestra otro mensaje en la línea de estado del programa:
[ Welcome to Victor Widjaja `WordMacro' Virus - Programmed & Created by Victor Widjaja the HACKER - Virus Research Labolatory ]
Cada 1ro. de noviembre, el virus realiza las siguientes acciones:
1. Imprime el mismo texto anterior, y luego muestra una ventana de diálogo con el siguiente mensaje:
Attention Victor Widjaja lives in your PC now
2. Examina la hora del sistema, y cuando los segundos actuales son 1 u 11, el virus llama a una función de borrado del disco duro, ejecutando el comando FORMAT.
Como limpiar documentos de Word infectados
Ejecute uno o más antivirus actualizados con las últimas definiciones. Recomendamos el uso de F-Macrow, antivirus de F-Prot solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP).
Programa y actualización pueden ser descargados de nuestro sitio:
http://www.vsantivirus.com/f-prot.htm
Medidas complementarias con los macros
En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Word 2000 y XP, vaya a Herramientas, Macro, Seguridad, y cambie el nivel a Alto.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|