Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W97M/Michael. Curriculum interactivo y cambios en el teclado
 
VSantivirus No. 184 - Año 5 - Lunes 8 de enero de 2001

Nombre: W97M/Michael.A y W97M/Michael.c
Tipo: Virus de macro de Word 97
Alias: Michael.A, W97M/Michael.c.gen, W97M_Michael.Kbd
Origen: Filipinas

Se trata de un virus de Word 97 polimórfico, contenido en un módulo llamado MYCKL2_6.

Cuando un documento o una plantilla infectada es abierta, el virus intenta deshabilitar la protección contra virus de macros de Word 97, y la opción SaveNormalPrompt. Luego borra los macros existentes y se copia a si mismo a la plantilla NORMAL.DOT, y a cualquier otro documento abierto en ese momento.

El virus también puede replicarse cuando un documento es cerrado (AutoClose) o cuando cualquiera de los siguientes macros es activado:

AutoExit
Autonew
FileNew
FilenewDefault
FileSave
Filesaveas
FileClose
FileExit
FileOpen
AutoOpen
AutoExec

Si el usuario activa los macros FileSave, AutoOpen o Autoexec, y el día es un lunes con fecha menor o igual a 7, y el año mayor de 1999, el virus modifica también el archivo:

C:\WINDOWS\SYSTEM\MAIN.CPL

Con esta acción esconde las carpetas FUENTES, TECLADO, MOUSE, e IMPRESORAS del Panel de Control.

También modifica estos archivos relacionados con el teclado:

C:\WINDOWS\SYSTEM\KBDUS.KBD
C:\WINDOWS\SYSTEM\KBDUSX.KBD

El último de estos archivos (kbdusx.kbd) es cambiado para que el teclado quede "remapeado" de la siguiente manera:

qwertyuiop
se cambia por:
Michael :)

asdfghjkl
se cambia por:
Learns to

zxcvbnm
se cambia por:
Hack!!!

De este modo, cuando las teclas son pulsadas en un determinado orden (qwertyuiop, etc.) el texto que aparecerá en la pantalla será:

Michael :) Learns to Hack!!!

El resto de las rutinas del virus (payloads), actuarán de acuerdo a los macros y acciones que sean activadas por el usuario en una sesión de trabajo normal con el Word.

Si el macro FilePrintDefault o la acción Archivo/Imprimir es activada un día viernes, ningún documento será impreso. Pero además, si el viernes es un 23 o superior, el virus creará el archivo C:\WINDOWS\DUMMY.TXT, el cuál contendrá un Curriculum Vitae, presumiblemente del autor del virus, el cuál será impreso en lugar del documento.

Si el macro FileSave o la acción Archivo/Guardar es activada un sábado igual o posterior al día 23, el virus despliega este mensaje en la barra de estado del Word:

Michael Learns to Hack And Hope You'll Learn from It Too.

Si el macro FileOpen o la acción Archivo/Abrir es activada un día 30, el virus muestra un Curriculum interactivo usando el Microsoft Assistant para darle al usuario diferentes opciones a seleccionar de una lista que puede cambiar al azar.

Cuando el macro Autoexec es activado, el virus borra el archivo C:\MSCONFIG.SYS, y renombra C:\AUTOEXEC.BAT como C:\MSCONFIG.SYS.

El código del virus contiene el siguiente comentario:

'Welcome Hacker you gain the back door, now its yours, 
'just don't include my name when you create your own virus from this virus. 
'I don't want to get any credit

'The tragedy of life is not death, rather, it is what we allow to die within us while we live

'Watch your thoughts, it becomes word
'Watch your words, it becomes actions
'Watch your actions, it becomes your habit
'Watch your habit, it becomes your character
'Watch your character, it becomes your Destiny


'-------- Myckl 2.5 


Variante: W97M/Michael.C


Esta variante es igual a la versión A, salvo que agrega las siguientes rutinas:

Cuando los macros ViewVBCode, FileTemplates y ToolsMacro o las acciones Herramientas/Macros o Herramientas/Macros/ Editor Visual Basic son activadas, el virus muestra este mensaje:

The utilities [opción del menú seleccionada] is not 
available at the standard edition of Microsoft Word, 
contact Microsoft for upgrade (cost of upgrade is minimal)

Not available

Donde [opción del menú seleccionada] corresponderá a la acción o macro que se haya activado (uno por vez).


Cómo restaurar archivos modificados


Para restaurar los cambios hechos en caso de infección, deberá procederse a la recuperación de algunos archivos importantes desde un respaldo, o con la utilidad SFC en el caso de Windows 98, o manualmente desde los archivos CAB en Windows 95.

Sin embargo, recuerde que antes deberá ejecutar un antivirus al día en su sistema.


Recuperar archivos usando SFC en Windows 98


1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.

2. Seleccione "Extraer un archivo del disco de instalación"

3. Teclee C:\WINDOWS\SYSTEM\MAIN.CPL en la ventana "Especifique el archivo de sistema que desea restaurar" y pinche en Iniciar.

4. En la ventana "Restaurar de" teclee el camino a donde posee los archivos CABs de instalación de Windows 98 (C:\WINDOWS\OPTIONS\CABS o C:\WIN98, o si los tiene en CD, D:\WIN98, o la letra que corresponda).

5. Pinche en ACEPTAR y siga las instrucciones.

Reitere los mismos pasos dos veces más para extraer C:\WINDOWS\SYSTEM\KBDUS.KBD y C:\WINDOWS\SYSTEM\KBDUSX.KBD (poniendo uno por vez en la ventana "Especifique el archivo de sistema que desea restaurar" del punto 3).


Recuperar archivos usando Windows 95


1. Seleccione Inicio, Apagar el sistema y seleccione Reiniciar en Modo MS-DOS.

2. Teclee una de estas opciones (de acuerdo a la ubicación de los archivos CAB):

EXTRACT /A C:\WINDOWS\OPTIONS\CABS\WIN95_03.CAB MAIN.CPL /L C:\WINDOWS\SYSTEM

o

EXTRACT /A C:\WIN95\WIN95_03.CAB MAIN.CPL /L C:\WINDOWS\SYSTEM

o inserte su CD de Win 95 y teclee:

EXTRACT /A D:\WIN95\WIN95_03.CAB MAIN.CPL /L C:\WINDOWS\SYSTEM

Esto siempre que "D" sea su unidad de CD (recuerde que tal vez deba proceder a instalar los drivers para reconocer su unidad de CD-ROM en este último caso. Pero pruebe antes a teclear DOSSTART.BAT para intentar reconocer la unidad de CD. Si no funciona deberá preparar un disquete de inicio con los drivers de CD. También podría usar un disquete de inicio de Windows 98 que ya los trae).

3. Reitere los pasos para extraer KBDUS.KBD y KBDUSX.KBS, pero con los siguientes comandos:

EXTRACT /A C:\WINDOWS\OPTIONS\CABS\WIN95_06.CAB KBDUS.KBD /L C:\WINDOWS\SYSTEM
EXTRACT /A C:\WINDOWS\OPTIONS\CABS\WIN95_06.CAB KBDUSX.KBD /L C:\WINDOWS\SYSTEM

o

EXTRACT /A C:\WIN95\WIN95_06.CAB KBDUS.KBD /L C:\WINDOWS\SYSTEM
EXTRACT /A C:\WIN95\WIN95_06.CAB KBDUSX.KBD /L C:\WINDOWS\SYSTEM

o

EXTRACT /A D:\WIN95\WIN95_06.CAB KBDUS.KBD /L C:\WINDOWS\SYSTEM
EXTRACT /A D:\WIN95\WIN95_06.CAB KBDUSX.KBD /L C:\WINDOWS\SYSTEM

Fuentes: McAfee y Computer Associates

 

Copyright 1996-2001 Video Soft BBS