|
Controlado desde el
19/10/97 por NedStat
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde el 12 de agosto de 1996
| Virus "Suppl": a la semana elimina muchos archivos de su duro. | ||
|---|---|---|
Martes 21 de setiembre de 1999. Nombre: W97/Suppl Alias: Suppl, W32/Suppl y variante Suppl.A) "SUPPL" es un virus de macro que afecta a Microsoft Word, y que ha sido enviado por e-mail a más de 25 newsgroups de alt.sex desde el pasado viernes, 17 de setiembre hasta la fecha. A través de su grupo AVERT, Network Associates dio la alerta sobre esta nueva amenaza, que se propaga por e-mail y puede dejar inutilizables los datos del disco duro de las víctimas. "SUPPL" se propaga monitoreando el uso del correo electrónico del usuario (si usa protocolo SMTP), y adjuntándose él mismo en un documento infectado (llamado "SUPPL.DOC") a todo e-mail enviado. Si "SUPPL.DOC" es abierto, aparecerá ante el usuario lo que aparentemente es un documento vacío. Sin embargo, este documento contiene un macro que hace que se copie a si mismo al directorio C:\Windows con el nombre de "ANTHRAX.INI". Extrae de él un DLL oculto y lo copia como DLL.LZH, al que expandirá inmediatamente dejándolo como DLL.TMP. Genera también un archivo WININIT.INI y espera al próximo reinicio de la computadora para activarse. Windows lee el contenido del archivo WININIT.INI al momento de reiniciarse. Entonces, el virus renombra el archivo WSOCK32.DLL como WSOCK33.DLL y con el DLL.TMP (infectado) reemplaza al WSOCK32.DLL original. Después de esto, el virus agrega un archivo llamado SUPPL.DOC (una copia del "ANTHRAX.INI" previamente guardado), a cada e-mail enviado. El virus guarda también un registro de las direcciones e-mail a las que ha sido enviado en un archivo llamado ANTHRAX.HST. Como vemos, el nuevo WSOCK32.DLL incluye las instrucciones para monitorear el correo electrónico saliente, enviar mensajes con el archivo infectado, y activar una rutina destructiva. Casi una semana después de la infección, el virus empezará a poner todos los archivos DOC, XLS, TXT, RTF, DBF, ZIP, ARJ y RAR de la unidad C:\ del usuario, a un tamaño de cero bytes. Al no "borrarlos", sino simplemente dejándolos de un valor "nulo" (cero), su recuperación se hace casi imposible. "SUPPL.DOC" utiliza técnicas avanzadas, y hace uso de ciertas rutinas disponibles en las librerías LZ32.DLL y KERNEL32.DLL. Cuando el documento es abierto, si la opción de Word que advierte del uso de macros está habilitada, aparece una advertencia. Se puede detener la infección, simplemente no habilitando los macros. Solo funciona en sistemas Windows. Aunque se reproduce correctamente bajo Windows 95 y 98, no se extiende bajo Windows NT. |
||
