Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: XM97/Laroux.AE. Variantes del virus de macros de Excel
 
VSantivirus No. 491 - Año 6 - Domingo 11 de noviembre de 2001

Nombre: XM97/Laroux.AE
Tipo: Virus de macros Excel 97 y 2000
Alias: Excel97Macro/Laroux.AE, XM97/Laroux-OH
Macros: AUTO_OPEN, CHECK_FILES o CK_FILES

Son simples virus de macros que se propagan bajo Excel 97 y Excel 2000, y no poseen ninguna rutina deliberadamente destructiva.

Existen algunas variantes del XM97/Laroux, y todas consisten en dos macros: AUTO_OPEN y CK_FILES (o CHECK_FILES).

El macro AUTO_OPEN se ejecuta cada vez que un documento infectado es abierto. El macro CHECK_FILES se ejecuta cada vez que una nueva hoja es abierta.

Cuando eso sucede, el virus crea el archivo RESULTS.XLS (o PLDT.XLS) en el directorio INICIOXL de Office, y copia ambos macros en él.

El archivo PLDT.XLS (o RESULTS.XLS de acuerdo a la versión), es abierto automáticamente cada vez que se ejecuta Excel.

Cuando un usuario abre un hoja de trabajo infectada, el virus examina si el sistema ya ha sido infectado, buscando la existencia de alguno de esos archivos (PLDT.XLS o RESULTS.XLS) en la carpeta de inicio de Excel (InicioXL).

Si el sistema no está infectado, Laroux copia su módulo desde el libro actual y lo guarda como un proyecto VBA (Visual Basic de macros), como PLDT.XLS o RESULTS.XLS en la carpeta de inicio de Excel.

Este proyecto también contiene los objetos "Sheet1" y "ThisWorkbook" y se usa para infectar cualquier libro de trabajo limpio que se abra luego de la primera infección. Está oculto mediante atributos de los ojos del usuario, pero puede ser mostrado seleccionado Mostrar desde el menú de Windows.

La información relacionada con el resumen del documento infectado (ver Archivos, Propiedades), es borrada (Título, Asunto, Autor, Palabras clave y Comentario).

Como sacar el virus de un sistema infectado

Ejecute uno o más antivirus actualizados. Recomendamos el uso de F-Macrow, antivirus de F-Prot solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP). Programa y actualización pueden ser descargados de http://www.vsantivirus.com/f-prot.htm


Fuentes: Sophos, Computer Associates

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com 		 

Copyright 1996-2001 Video Soft BBS