Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Doctor.A. Asunto: New Tool for Word Macro Virus
 
VSantivirus No. 719 - Año 6 - Miércoles 26 de junio de 2002

 W32/Doctor.A. Asunto: New Tool for Word Macro Virus
http://www.vsantivirus.com/doctor-a.htm

Nombre: W32/Doctor.A
Tipo: Gusano de Internet, virus de macros
Alias: W32/DoTor@MM, WORM_DOTOR.A, Worm/Doctor, W32.Dotor.A@mm, W97M.Dotor.A@mm, Worm/Doctor, WORM_DocTor, W32/Petik.N, Win32.Dotor.A, Win32/Doctor.Worm, WORM_DOTOR.A, W97M/Dotor.A, W32/Dotor.A
Fecha: 23/jun/02
Tamaño: 11,766 bytes (UPX), 40,960 bytes

Este gusano, escrito en Visual C++, se propaga en un mensaje con el adjunto DOCTOR.EXE.

Cuando se ejecuta, envía un mensaje infectado a toda la lista de contactos de la libreta de direcciones del Microsoft Outlook, con el siguiente formato:

Asunto: NewTool for Word Macro Virus

Texto:
This tool allows you to protect you
against unknown macro virus.
Click on the attached file to run this freeware. 
Best Regards. Have a nice day. 

Datos adjuntos: DocTor.exe

Cuando se ejecuta por primera vez, el gusano se copia a si mismo como DOCTOR.EXE en la carpeta de Windows.

C:\Windows\DOCTOR.EXE

También se copian los siguientes archivos:

C:\LUKDQZQZ.TXT
C:\WINDOWS\Menú Inicio\Programas\Inicio\DOCTOR.VBS

Luego crea la siguiente entrada en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
DocTor = C:\Windows\doctor.exe /newrun

La carpeta C:\Windows puede tener otro nombre de acuerdo a la versión de Windows.

La entrada en el registro, hace que cuando la computadora se reinicie, se ejecute el gusano (el archivo DOCTOR.EXE), pero con el parámetro '/newrun', el cuál hace que el virus ejecute el archivo DOCTOR.VBS. Este script busca la plantilla NORMAL.DOT de Microsoft Word y la infecta. Esto a su vez, infectará luego a todos los documentos .DOC que sean abiertos por Word.

El código copiado posee 16,335 bytes.

El virus baja el nivel de la seguridad de Word contra virus de macros, de modo que el usuario no recibe ninguna advertencia de ejecución.

Para ello cambia la siguiente entrada en el registro:

HKCU\Software\Microsoft\Office\X.X\Word\Security
Level = 1

Donde 'X.X' representa la versión de Word: '9.0' o '10.0'.

También modifica la siguiente entrada:

HKCU\Software\Microsoft\Office\10.0\Word\Security
AccessVBOM = 1

Luego, el virus copia el archivo DOCTOR.EXE a la carpeta de Windows e intenta modificar la clave de autoejecución en el registro ya creada antes:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
DocTor = C:\Windows\doctor.exe /newrun

El gusano utiliza las rutinas MAPI (Messaging Application Interface) para propagarse a si mismo vía e-mail, en un mensaje idéntico al descripto anteriormente.


Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados por el virus

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

DocTor

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Office
\X.X ('X.X' representa la versión de Word: '9.0' o '10.0')
\Word
\Security

8. Pinche en la carpeta "Security" y en el panel de la derecha busque las entradas "Level" y "AccessVBOM" (esta última solo en la versión 10.0), y pinche sobre ellas para cambiar su valor de 1 a 3:

Level     "3"
AccessVBOM     "3"

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Recomendamos el uso de F-Macrow, antivirus de F-Prot solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP).

Programa y actualización pueden ser descargados de nuestro sitio: http://www.vsantivirus.com/f-prot.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Modificaciones:
26/jun/02 - Nuevo nombre del virus W32/Petik.N
27/jun/02 - Alias: W32/Dotor.A
27/jun/02 - Path "C:\WINDOWS\Menú Inicio\Programas\Inicio"



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS