|
VSantivirus No. 441 - Año 5 - Sábado 22 de setiembre 2001
Nombre: W97M/Sting
Tipo: Virus de macros de Word
Tamaño: 12,740 Bytes
Fecha: 18/set/01
Este virus de macros, infecta los documentos creados con Microsoft Word (97 y superiores), y sobreescribe la plantilla global
(NORMAL.DOT).
El virus modifica la configuración de la impresora y el documento, 30 días después de la infección.
También cambia el archivo AUTOEXEC.BAT para ejecutarse cuando se reinicia Windows.
Cuando el virus se ejecuta, se realizan las siguientes acciones:
Escribe su código viral en un archivo con los atributos de oculto (+H) en la carpeta
C:\Windows\Command, y con un carácter no imprimible en su nombre, a los efectos de que el mismo pueda permanecer oculto a la vista de carpetas.
Se crea un archivo .BAT oculto que cuando se ejecuta, sobreescribe la plantilla
NORMAL.DOT de Word con una copia de un archivo creado previamente.
Modifica el archivo C:\Autoexec.bat para que ejecute al archivo .BAT oculto en el reinicio de Windows.
Si no existe un archivo AUTOEXEC.BAT, entonces genera uno, con los tributos de oculto y el siguiente contenido:
@ECHO OFF
PROMPT $P$G
SET PATH=C:\WINDOWS\;C:\WINDOWS\COMMAND\<carácter raro>
Luego, el virus modifica el camino de C:\Program Files\Microsoft
Office\Templates, guardando el original en el archivo C:\Windows\TmpPath.ini.
Esto ocasiona que las plantillas NORMAL.DOT no sean sobrescritas en todas las computadoras, sino solo en las que el camino por defecto es:
C:\Program Files\Microsoft Office\Templates
Tenga en cuenta que esta situación no suele darse en Windows en español.
El virus también crea otro archivo oculto para determinar el tiempo que tiene la infección en esa máquina.
Si la infección es de más de 30 días, y el virus no está registrado, entonces borra los indicadores de compatibilidad:
UsePrinterMetrics y WW6BorderRules.
Cuando Windows es reiniciado, son configuradas dos combinaciones de teclas:
Shift+Ctrl+Alt+R, que despliega una ventana de diálogo que pide una llave de identificación.
Shift+Ctrl+Alt+V, que abre el editor de Visual Basic si la contraseña
"sting" es ingresada.
También modifica el nombre del archivo por defecto que aparece en la opción Archivos, Guardar como..., por lo siguiente:
Bohol Poll 7 results released.
El virus crea estos archivos:
C:\Windows\TmpPath.ini
C:\Windows\Command\y.y
C:\Windows\Command\yy.yy
C:\Windows\Command\y.bat
C:\Windows\Command\System1.dt_
Además, crea estos otros, que luego elimina, sin embargo, bajo ciertas circunstancias, los mismos pueden permanecer en el sistema:
C:\Windows\Command\System2.dt_
C:\Windows\Command\zz.bat
C:\Windows\Command\az.bat
C:\Windows\Command\xz.bat
Como sacar el virus de un sistema infectado
Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.
Recomendamos el uso de F-Macrow, antivirus de F-Prot
solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP). Programa y actualización pueden ser descargados de nuestro
sitio.
Luego, siga estos pasos:
1. Pinche en Inicio, Ejecutar, y teclee "EDIT
C:\AUTOEXEC.BAT" (más ENTER).
2. En el editor, busque en la última línea, un carácter, que puede ser el de subrayado, un espacio vacío (no es el carácter de espacio, pero se ve como él). Bórrelo.
3. Pinche en Archivo, Salir. Guarde los cambios cuando se le pregunte.
4. Con el Explorador de Windows, busque y borre este archivo:
C:\Windows\TmpPath.ini
5. Para borrar otros archivos ocultos, inicie el bloc de notas, y copie el siguiente texto a la ventana del bloc de notas:
ATTRIB C:\WINDOWS\COMMAND\y.y -H -R
DEL C:\WINDOWS\COMMAND\y.y
ATTRIB C:\WINDOWS\COMMAND\System1.dt_ -H -R
DEL C:\WINDOWS\COMMAND\System1.dt_
ATTRIB C:\WINDOWS\COMMAND\y.bat -H -R
DEL C:\WINDOWS\COMMAND\y.bat
ATTRIB C:\WINDOWS\COMMAND\yy.yy -H -R
DEL C:\WINDOWS\COMMAND\yy.yy
DEL C:\WINDOWS\COMMAND\System2.dt_
DEL C:\WINDOWS\COMMAND\zz.bat
DEL C:\WINDOWS\COMMAND\az.bat
DEL C:\WINDOWS\COMMAND\xz.bat
6. Guarde el archivo creado con algún nombre como
"limpiar.bat" (incluya las comillas).
7. Haga doble clic sobre ese archivo (LIMPIAR.BAT) para que se ejecute.
8. Examine las configuraciones de Word.
En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla:
"Protección antivirus en macros" y "Confirmar conversiones al
abrir". En Word 2000, vaya a Herramientas, Seguridad, y cambie el nivel a Medio o Alto.
Fuente: Symantec Security Response
(c) Video Soft - http://www.videosoft.net.uy
|
|