| |
VSantivirus No. 965 - Año 7 - Jueves 27 de febrero de 2003
W97M/Eikam. Un virus de macro por amor a "Maike"
http://www.vsantivirus.com/eikam.htm
Nombre: W97M/Eikam
Tipo: Virus de macro de Word
Alias: Word97Macro/Ekiam.A, W97M/Maike, W97M.Maike
Fecha: 25/feb/03
Plataforma: Windows 32-bits
Tamaño: 1788 bytes
Este virus de macro, escrito en Visual Basic, infecta documentos de Word, además de la plantilla global, NORMAL.DOT
Primero infecta a está última, asegurándose de esa forma estar activo cada vez que un documento de Word es abierto. A partir de allí, infectará nuevos documentos cada vez que estos son abiertos, cerrados o guardados en el disco duro.
Cuando se ejecuta, el virus oculta su presencia deshabilitando las siguientes opciones del menú:
1. Herramientas, Opciones, General, Confirmar conversiones al abrir
Los documentos en formatos diferentes a los de Word (por ejemplo .TXT) pueden ser convertidos al formato de Word automáticamente. El usuario no recibe el pedido de confirmación para esta conversión.
2. Herramientas, Opciones, General, Protección antivirus en macros
Los documentos conteniendo macros pueden ser abiertos automáticamente. El usuario no recibe el pedido de confirmación para habilitar o deshabilitar los macros antes de abrir el documento (Word 97). Word 2000 actúa diferente con esta protección, y no es afectado en este caso. En ese caso el virus también examina si el Word usado es el 2000 o XP, y cambia la configuración de la seguridad a BAJA, modificando el registro.
3. Herramientas, Opciones, Guardar, Preguntar si guarda la plantilla normal
El usuario no es consultado para aceptar o no los cambios a la plantilla NORMAL.DOT, siendo estos grabados automáticamente, sin su conocimiento.
Luego de los cambios, cuando se abre un documento, Word no solicita confirmación para activar o desactivar las macros incluidas en el mismo.
Otras acciones del virus en la computadora infectada son el cambio del usuario registrado. Esto es visible si pulsa con el botón derecho sobre el icono "Mi PC" que aparece en el escritorio. Luego seleccione "Propiedades", "General". Allí encontrará debajo de los datos del Sistema, los del usuario registrado, que han sido cambiados por lo siguiente:
Maike you are
The most beautiful
Girl in the world
El virus sólo realiza esta acción cuando el sistema operativo está en español.
Crea el siguiente archivo, que
contiene el código del virus:
C:\Windows\MAIKE.SYS
Los días 1, 14 y 28 de cada mes, el gusano cambia la siguiente rama del registro:
HKLM\Software\Microsoft\Windows\Current Version
RegisteredOwner = Maike you are
RegisteredOrganization = The most beautiful
ProductId = girl in the world
El código del virus contiene el siguiente comentario, que no es mostrado en ningún momento durante la infección:
This stupid Macro is coded from Vampir and many grezz
to my friends and Maike the little good looking girl
VIRIINAME: MAIKE
Como limpiar documentos de Word infectados
Ejecute uno o más antivirus actualizados con las últimas definiciones. Recomendamos el uso de F-Macrow, antivirus de F-Prot solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP).
Programa y actualización pueden ser descargados de nuestro sitio:
http://www.vsantivirus.com/f-prot.htm
Medidas complementarias con los macros
En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Word 2000 y XP, vaya a Herramientas, Macro, Seguridad, y cambie el nivel a Alto.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
