Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W97M/Nori.A. Activa una rutina destructiva el 1 de abril
 
VSantivirus No. 709 - Año 6 - Domingo 16 de junio de 2002

 W97M/Nori.A. Activa una rutina destructiva el 1 de abril
http://www.vsantivirus.com/nori-a.htm

Nombre: W97M/Nori.A
Tipo: Virus de macros Word97
Alias: Macro.Word97.Nori, W97M.Nori.A
Fecha: 13/jun/02
Plataformas: Todas las que corran Word 97, 2000 y XP

Es un típico virus de macros que afecta las versiones de Word 97, 2000 y XP, y que posee una peligrosa carga destructiva.

Se propaga infectando la plantilla global NORMAL.DOT y los documentos activos en ese momento.

La rutina maliciosa es activada el 1 de abril de cualquier año, e intenta borrar o bien todos los archivos de su disco duro, o bien todo el texto del documento infectado.

Si existe la siguiente entrada en el registro, borra todos los archivos y carpeta de la unidad C:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
RegisteredOrganization = IRON

En caso contrario (si dicha entrada no es "IRON"), borra todo el texto del documento activo. Existe otro virus que puede renombrar esta entrada, por lo que existe la posibilidad de que este virus pueda ser complemento de otro, o descargado por un troyano que realice otras acciones.

El virus oculta su presencia deshabilitando las siguientes opciones del menú:

1. Herramientas, Opciones, General, Confirmar conversiones al abrir

Los documentos en formatos diferentes a los de Word (por ejemplo .TXT) pueden ser convertidos al formato de Word automáticamente. El usuario no recibe el pedido de confirmación para esta conversión.

2. Herramientas, Opciones, General, Protección antivirus en macros

Los documentos conteniendo macros pueden ser abiertos automáticamente. El usuario no recibe el pedido de confirmación para habilitar o deshabilitar los macros antes de abrir el documento (Word 97). Word 2000 actúa diferente con esta protección, y no es afectado en este caso. En ese caso el virus también examina si el Word usado es el 2000 o XP, y cambia la configuración de la seguridad a BAJA, modificando el registro.

3. Herramientas, Opciones, Guardar, Preguntar si guarda la plantilla normal

El usuario no es consultado para aceptar o no los cambios a la plantilla NORMAL.DOT, siendo estos grabados automáticamente, sin su conocimiento.

También oculta el editor de Visual Basic de los macros.

El virus se propaga cuando un documento infectado es abierto o cerrado, y también cuando un documento nuevo es creado, si el documento infectado sigue abierto. Luego de la infección de la plantilla NORMAL.DOT todo documento nuevo también es infectado.

Durante la infección, se crea un archivo temporal llamado C:\Iron.tmp. El virus utiliza dicho archivo para copiar su código al propagarse. Luego de la infección, dicho archivo es borrado.


Como sacar el virus de un sistema infectado

Ejecute uno o más antivirus actualizados. Recomendamos el uso de F-Macrow, antivirus de F-Prot solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP).

Programa y actualización pueden ser descargados de nuestro sitio: http://www.vsantivirus.com/f-prot.htm


Medidas complementarias con los macros

En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Word 2000 y XP, vaya a Herramientas, Seguridad, y cambie el nivel a Alto.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS