Nuevo virus de macro W97M/Bridge.a

Nombre de virus : W97M/Bridge.a

Alias conocidos :  W97M/Bridge-A

Peligrosidad : Baja  (Baja, Alta, Muy Alta)

Activación :  Por apertura de documento infectado

Propagación :  A través de la plantilla normal.dot

Detección : DATS desde 4077 o Extra.dat

Motor necesario : Engine 4.0.50 o superior

Infección actual :  Inicial  (Inicial, Media, Elevada)

Hemos comenzado a recibir incidencias de un nuevo virus de macro de Word, el W97M/Bridge.a, el cual será controlado con los DAT 4077, pero para el que ya incluímos en este mensaje un nuevo EXTRA.DAT que permite su detección y eliminación.

Se trata de un virus para documentos y plantillas  MsWord97/2000 compuesto de dos módulos de macro denominados "MdCont" y "Contec".

MdCont contiene una rutina Autoopen que intercepta el evento de apertura de documentos, y llama a la otra macro, Contec, para ejecutar su código.

El código de replicación de este virus reside dentro del módulo Contec.

El virus no contiene payload .

Síntomas de infección:
Aviso de macro al abrir un documento infectado en un sistema no infectado.

Método de infección:
El virus infectará la plantilla global NORMAL.DOT al abrir documentos infectados. Una vez infectada la plantilla global, cualquier documento que se utilice a posteriori será infectado.

Nota: En general es muy común que los virus de macro desactiven opciones dentro de aplicaciones Office. Por ejemplo, en Word se acostumbra a desactivar la protección de aviso de macros (Herramientas | Opciones | General | Protección antivirus en macros). Es por ello, que tras la limpieza de virus de macro, es importante que se asegure de habilitar de nuevo estas opciones.

 
SATINFO, VIRUSCAN SPAIN SERVICE                             L.28.4.00
 
 

SATINFO, VIRUSCAN SPAIN SERVICE

Anterior