Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W97M/Sting. A los 30 días de la infección produce cambios
 
VSantivirus No. 441 - Año 5 - Sábado 22 de setiembre 2001

Nombre: W97M/Sting
Tipo: Virus de macros de Word
Tamaño: 12,740 Bytes 
Fecha: 18/set/01

Este virus de macros, infecta los documentos creados con Microsoft Word (97 y superiores), y sobreescribe la plantilla global (NORMAL.DOT).

El virus modifica la configuración de la impresora y el documento, 30 días después de la infección.

También cambia el archivo AUTOEXEC.BAT para ejecutarse cuando se reinicia Windows.

Cuando el virus se ejecuta, se realizan las siguientes acciones:

Escribe su código viral en un archivo con los atributos de oculto (+H) en la carpeta C:\Windows\Command, y con un carácter no imprimible en su nombre, a los efectos de que el mismo pueda permanecer oculto a la vista de carpetas.

Se crea un archivo .BAT oculto que cuando se ejecuta, sobreescribe la plantilla NORMAL.DOT de Word con una copia de un archivo creado previamente.

Modifica el archivo C:\Autoexec.bat para que ejecute al archivo .BAT oculto en el reinicio de Windows.

Si no existe un archivo AUTOEXEC.BAT, entonces genera uno, con los tributos de oculto y el siguiente contenido:

@ECHO OFF
PROMPT $P$G
SET PATH=C:\WINDOWS\;C:\WINDOWS\COMMAND\<carácter raro>

Luego, el virus modifica el camino de C:\Program Files\Microsoft Office\Templates, guardando el original en el archivo C:\Windows\TmpPath.ini.

Esto ocasiona que las plantillas NORMAL.DOT no sean sobrescritas en todas las computadoras, sino solo en las que el camino por defecto es:

C:\Program Files\Microsoft Office\Templates

Tenga en cuenta que esta situación no suele darse en Windows en español.

El virus también crea otro archivo oculto para determinar el tiempo que tiene la infección en esa máquina.

Si la infección es de más de 30 días, y el virus no está registrado, entonces borra los indicadores de compatibilidad: UsePrinterMetrics y WW6BorderRules.

Cuando Windows es reiniciado, son configuradas dos combinaciones de teclas:

Shift+Ctrl+Alt+R, que despliega una ventana de diálogo que pide una llave de identificación.

Shift+Ctrl+Alt+V, que abre el editor de Visual Basic si la contraseña "sting" es ingresada.

También modifica el nombre del archivo por defecto que aparece en la opción Archivos, Guardar como..., por lo siguiente:

Bohol Poll 7 results released.

El virus crea estos archivos:

C:\Windows\TmpPath.ini 
C:\Windows\Command\y.y 
C:\Windows\Command\yy.yy 
C:\Windows\Command\y.bat 
C:\Windows\Command\System1.dt_

Además, crea estos otros, que luego elimina, sin embargo, bajo ciertas circunstancias, los mismos pueden permanecer en el sistema:

C:\Windows\Command\System2.dt_ 
C:\Windows\Command\zz.bat 
C:\Windows\Command\az.bat 
C:\Windows\Command\xz.bat

Como sacar el virus de un sistema infectado

Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.

Recomendamos el uso de F-Macrow, antivirus de
F-Prot solo para virus macros, gratuito para uso personal, y que se actualiza con MACRO.DEF (MACRDEF2.ZIP). Programa y actualización pueden ser descargados de nuestro sitio

Luego, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee "EDIT  C:\AUTOEXEC.BAT" (más ENTER).

2. En el editor, busque en la última línea, un carácter, que puede ser el de subrayado, un espacio vacío (no es el carácter de espacio, pero se ve como él). Bórrelo.

3. Pinche en Archivo, Salir. Guarde los cambios cuando se le pregunte.

4. Con el Explorador de Windows, busque y borre este archivo:

C:\Windows\TmpPath.ini

5. Para borrar otros archivos ocultos, inicie el bloc de notas, y copie el siguiente texto a la ventana del bloc de notas:

ATTRIB C:\WINDOWS\COMMAND\y.y -H -R
DEL C:\WINDOWS\COMMAND\y.y
ATTRIB C:\WINDOWS\COMMAND\System1.dt_ -H -R
DEL C:\WINDOWS\COMMAND\System1.dt_
ATTRIB C:\WINDOWS\COMMAND\y.bat -H -R
DEL C:\WINDOWS\COMMAND\y.bat
ATTRIB C:\WINDOWS\COMMAND\yy.yy -H -R
DEL C:\WINDOWS\COMMAND\yy.yy
DEL C:\WINDOWS\COMMAND\System2.dt_
DEL C:\WINDOWS\COMMAND\zz.bat
DEL C:\WINDOWS\COMMAND\az.bat
DEL C:\WINDOWS\COMMAND\xz.bat

6. Guarde el archivo creado con algún nombre como "limpiar.bat" (incluya las comillas).

7. Haga doble clic sobre ese archivo (LIMPIAR.BAT) para que se ejecute.

8. Examine las configuraciones de Word.

En Word 97, seleccione Herramientas, Opciones, pinche en la lengüeta General, y marque la última casilla: "Protección antivirus en macros" y "Confirmar conversiones al abrir". En Word 2000, vaya a Herramientas, Seguridad, y cambie el nivel a Medio o Alto.


Fuente: Symantec Security Response
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS