Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W97M/Shepmah-G. Intenta borrar la carpeta de Windows
 
VSantivirus No. 261 - Año 5 - Lunes 26 de marzo de 2001

Nombre: W97M/Shepmah-G
Tipo: Virus de macro de Word
Fecha: 26/feb/01
Activo: Si

Es un virus que afecta los documentos y la plantilla global (NORMAL.DOT) creados por Microsoft Word 97 y 2000. Es muy similar a otros virus de macros de Word.

Cuando se abre un archivo infectado, el virus modifica las siguientes configuraciones de Word:

Deshabilita la confirmación de conversiones que aparece cuando se abre o inserta un archivo que no es un documento de Word o una plantilla.

Configura Word para que grabe automáticamente los cambios a la plantilla NORMAL.DOT antes de cerrar Word.

Deshabilita el editor de Visual Basic para evitar se edite o visualice su código.

Cambia la forma que Word maneja las teclas Ctrl+Inter (Break) para prevenir que el usuario interrumpa un macro.

Habilita la opción AutoMacros, de modo que el virus se ejecuta automáticamente cuando se inicia Word o se abre un documento.

Si el día es 25 de febrero de cualquier año, el virus realiza las siguientes acciones:

Modifica las siguientes propiedades de los documentos abiertos:

Título
Asunto
Autor
Palabras clave
Comentario

También despliega una ventana de texto con el título [HamPehS] y una imagen con el texto: "Evil Inside."

El virus también copia en el raíz de la unidad C: este archivo:

C:\Zalim.det

El contenido de ZALIM.DET comienza con la siguiente cadena:

===>>>!!HAMPEHS!!<<<>>>!!HAMPEHS!!<<<>>>!!HAMPEHS!!<<<====

Agrega varias líneas de comandos al archivo C:\Autoexec.bat. Estas ordenes son para borrar las carpetas C:\Program Files (lo que no funciona en la versión en español de Windows) y C:\Windows, y mostrar el contenido del archivo C:\Zalim.det. Sin embargo, por un error en el código, esto no parece funcionar.

El código que intentará agregar al AUTOEXEC.BAT es el siguiente:

Rem -- Hampehs Wuz HERE! ;)=
echo off
cls
move /y progra~1 tempt1 > null
move /y windows tempt2 > null
cls
type c:\zalim.det
pause > null
Rem -- The world full of Hampehs!

Para remover el virus de su sistema, reinicie la computadora, y luego ejecute un antivirus actualizado, limpiando los documentos infectados.

Luego, busque y borre el archivo:

C:\Zalim.det

Con el bloc de notas, abra el archivo C:\AUTOEXEC.BAT, y si existen, borre todas las líneas existentes (si se activó el virus), entre "Rem -- Hampehs Wuz HERE! ;)=" y "Rem -- The world full of Hampehs!", incluidas ambas.

En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir".

En Guardar, Opciones, marque "Preguntar si guarda la plantilla normal" o similar.

En Word 2000, vaya a Herramientas, Seguridad, y cambie el nivel a Medio o Alto.

Fuente: Symantec

 

Copyright 1996-2001 Video Soft BBS