Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: O97M.Hopper.V. Infecta documentos de Word y de Excel
 
VSantivirus No. 224 - Año 5 - Sábado 17 de febrero de 2001

Nombre: O97M.Hopper.V
Tipo: Virus de macro
Alias: Macro.Office.Hopper.n, X97M/Hopper.r
Fecha: 13/feb/01

O97M.Hopper.V es un virus de macro con características STEALTH (de ocultamiento). Infecta documentos de Word y Excel. Dependiendo del día del mes, es capaz de modificar datos o configuraciones en el documento de Word o los libros de Office.

Infección en Excel

Al infectarse un libro de trabajo, el archivo Book1 es guardado en la carpeta de Inicio del Excel (\Microsoft Office\Office\InicioXL). Luego, el virus infecta la plantilla NORMAL.DOT de Word.

Las acciones del virus en documentos de Excel son las siguientes:

Si el día del mes es 1, existen 1 de 10 posibilidades que a las primeras 10 celdas seleccionadas al azar entre las primeras 100 filas y 100 columnas, se les agregue el comentario "Cross.BadSeed v0.41".

Si el día del mes es 10, existen 1 de 3 posibilidades que el contenido de los primeras 150 pares de celdas, sean intercambiados entre sí. Estas celdas son seleccionadas desde la columna 2 a la columna 16, y de la fila 10 a la 209.

Si el día del mes es 15, el nombre del autor del documento es cambiado por el de "1nternal" (note que el primer caracter es el número "1" y no la letra "L"minúscula ni la "i" mayúscula).

Si el día del mes es 20, existen 1 de 5 posibilidades que en la barra de estado se muestre el texto: "Cross.BadSeed v0.41 /1nternal"

Infección en Word

Si usted cierra un documento infectado, el virus se oculta, desactivando las siguientes opciones: Guardar, Guardar como..., Confirmar conversiones al abrir y Protección antivirus en macros. El virus examina la plantilla NORMAL.DOT, y si no está infectada, la infecta, copiando su código desde el documento activo a la plantilla NORMAL.DOT.

Luego, la carpeta de inicio de Excel (\Microsoft Office\Office\InicioXL), es examinada por la presencia de un libro de trabajo infectado.

Si el archivo no existe, la protección antivirus en macros es desactivada modificando el registro de Windows. Luego se copia el archivo Book1 en \Microsoft Office\Office\InicioXL y luego éste archivo es infectado.

Después que la plantilla NORMAL.DOT es infectada, el documento activo es inspeccionado. Si no está infectado, el virus copia el código desde NORMAL.DOT al documento activo.

Las acciones del virus en documentos de Word son las siguientes:

Si el día del mes es 1, existen 1 de 10 oportunidades para que el carácter "I" ("i" mayúsculas), sea cambiado por el número "1" en el documento activo.

Si el día del mes es 5, existen 1 de 10 posibilidades que todas las apariciones de la palabra "not" en el documento activo sean borradas.

Si el día del mes es 10, existen 1 de 15 chances para que el Asistente de Office se active, mostrando el siguiente mensaje:

Cross.BadSeed v0.41

Programmer: 1nternal
Class Infection: VicodenES
ActiveX Concept: 1nternal
Book1. Concept: VicodenES

1nternal also wishes to thank all contributors and 
supporters which have made Cross.BadSeed possible.

Si el día del mes es 15, existen 1 de 10 oportunidades para que el virus intente conectarse al sitio http://www.sourceofkaos.com/homes/1nternal

Si el día del mes es 20, existen 1 de 5 chances que la barra de estado muestre el mensaje "Cross.BadSeed v0.41 /1nternal."

Fuente: Symantec

 

Copyright 1996-2001 Video Soft BBS