Virus: W97M/Rypley.A. Puede formatear el disco duro

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 268 - Año 5 - Lunes 2 de abril de 2001

Nombre: W97M/Rypley.A
Tipo: Virus de macro de Word97/2000
Nombre del macro: RYPLEY
Fecha: 31/mar/01
Activo: Si

Este virus de macros infecta documentos y plantillas, y posee una rutina destructiva capaz de formatear la unidad C:\.

La primera acción del virus (cuando se ejecuta un documento o plantilla infectada) es desactivar las opciones "Protección antivirus en macros", "Confirmar conversiones al abrir", y "Preguntar si guarda la plantilla normal", en un intento de ocultar su presencia. También cambia los atributos de la plantilla NORMAL.DOT a "solo lectura" (+R), luego de infectarla.

El virus guarda su propio código en el archivo C:\CAR.SCF, desde donde será extraído y usado para su replicación.

También realiza estos cambios en el registro de Windows:

HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security
Level = 1

HKEY_CURRENT_USER\Software\Microsoft\VBA\6.0\Common
CodeBackColors = 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1

HKEY_CURRENT_USER\Software\Microsoft\VBA\6.0\Common
CodeForeColors = 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1

HKEY_CURRENT_USER\Software\Microsoft\VBA\Office
CodeBackColors = 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1

HKEY_CURRENT_USER\Software\Microsoft\VBA\Office
CodeForeColors = 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1

HKEY_CURRENT_USER\Software\RYPLEY\CAR
RYPLEY = "EL MEJOR DE LOS CINCO CONTINENTES"

Estos cambios, bajan el nivel de seguridad de Word 2000, y hacen que el color de las letras y el fondo en el editor Visual Basic sean ambos blancos, ocultando el código presente a los ojos del usuario.

La rutina destructiva de este virus, se activa si un documento infectado es abierto en el momento que los segundos actuales son iguales a los minutos, por ejemplo: 15:02:02, 21:50:50, etc.

Si eso ocurre, el virus modifica el archivo AUTOEXEC.BAT, para agregar esta línea:

@echo s|format c: /q/c/v:RYPLEY >RYPLEY

Esto hará que la unidad C:\ sea formateada en el próximo reinicio de Windows.

También el texto actual en el documento que se está editando es cambiado por el siguiente:

RYPLEY
EL MEJOR DE LOS CINCO CONTINENTES

El virus modifica las propiedades del documento, agregando en el campo "Compañía" lo siguiente:

IMPUNIX ©

El código del virus contiene el presente texto, el cuál no es mostrado nunca:

IMPUNIX © presenta su Virus: RYPLEY
Creado por tHEmASTER & $$Y & XBIT & K@NSERVERO

Para eliminar este virus de un sistema infectado, ejecute un antivirus actualizado. Se sugiere F-MACROW, gratuito para uso personal, que usted puede bajar de nuestro sitio (bajo F-PROT). Se sugiere actualizarlo con el último archivo MACRODEF2.ZIP.

Antes de reiniciar, edite el archivo AUTOEXEC.BAT (Inicio, Ejecutar, teclee SYSEDIT y pulse Enter, seleccione AUTOEXEC.BAT y elimine si existiera, la línea "@echo s|format c: /q/c/v:RYPLEY >RYPLEY").

Borre el archivo C:\CAR.SCF

Ejecute el editor del registro, REGEDIT (Inicio, Ejecutar, escriba REGEDIT y Enter).

Busque la siguiente clave:

HKEY_CURRENT_USER
Software
Microsoft
VBA
6.0
Common

Y borre las entradas: "CodeBackColors" y "CodeForeColors"

Repita lo mismo con:

HKEY_CURRENT_USER
Software
Microsoft
VBA
Office

Y borre las entradas: "CodeBackColors" y "CodeForeColors"

En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Word 2000, vaya a Herramientas, Seguridad, y cambie el nivel a Medio o Alto.

En Guardar, Opciones, marque "Preguntar si guarda la plantilla normal" o similar.

Fuente: Computer Associates