Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W97M/Kestrel.a (Falcon.A). Virus de macro Word 97 y 2000
 
VSantivirus No. 580 - Año 6 - Jueves 7 de febrero de 2002

W97M/Kestrel.a (Falcon.A). Virus de macro Word 97 y 2000
http://www.vsantivirus.com/kestrel-a.htm

Nombre: W97M/Kestrel.a
Tipo: Virus de macro
Alias: W97M/Kestrel.A, WM97/Falcon-A
Fecha: 4/feb/02
Fuente: Network Associates 

Este virus de macros infecta documentos y plantillas de Word 97 y 2000.

Deshabilita la opción Herramientas, Opciones, General, Protección antivirus en macros en Word 97, de este modo los documentos conteniendo macros pueden ser abiertos automáticamente. El usuario no recibe el pedido de confirmación para habilitar o deshabilitar los macros antes de abrir el documento (Word 97).

Esto no afecta a Word 2000, pero el virus cambia en el registro el nivel de seguridad de este último programa, poniéndolo en BAJO, obteniendo de este modo el mismo resultado que con Word 97, el usuario no es advertido de la presencia de macros antes de abrirse un documento que los contenga.

También deshabilita el menú Herramientas, Macro, Seguridad.

El virus exporta su código viral a los archivos C:\shell32x.sys y C:\shortcuts.sys.

Estos archivos no aparecen como infectados en un escaneo.

La opción Archivo, Propiedades, Resumen, Comentario es cambiada por "Don't be surprised by the ]-[@wk!"

El intento de abrir Herramientas, Macro, Macros, o Herramientas, Macro, Editor de Visual Basic, o Herramientas, Plantillas, etc., muestra el siguiente mensaje de error:

CMacroTools::InitWindow()error!
Installation error 0x80000024
Please reinstall Microsoft Word
[     OK    ]

Y luego (al pulsar en OK), muestra esta otra ventana de mensajes:

MacroProt v2.0 Beta
To prevent viruses the system administrator has disabled 
Macro editing
[    OK    ]

La infección se produce al abrir un documento infectado. Cada documento y plantilla que son abiertos luego, son infectados.

Aunque el virus no puede transmitirse por si solo vía e-mail, nada impide que un documento infectado pudiera ser enviado conscientemente, mediante engaños, o aún como parte de otro virus que reenvía documentos de la máquina infectada, por lo que se sugiere precaución antes de ejecutar cualquier nuevo archivo recibido por este medio.

También podría llegar a la computadora de la víctima al ser descargado de Internet, o copiado de disquetes, CDs, etc.

Como sacar el virus de un sistema infectado

Ejecute uno o más antivirus actualizados. Recomendamos el uso de F-Macrow, antivirus de F-Prot solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP).

Programa y actualización pueden ser descargados de nuestro sitio: http://www.vsantivirus.com/f-prot.htm

Medidas complementarias con los macros

En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Word 2000 y XP, vaya a Herramientas, Seguridad, y cambie el nivel a Alto.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS