NUEVO  VIRUS DE MACRO POLIMORFICO Y DE GRAN TAMAÑO  
Nombre de virus: W97M/EVOLUTION.b@MM

Alias conocidos: WM97_Revolution

Riesgo: Bajo   ( Bajo, Alto, Muy Alto)

Activación: Envía 75 emails y borra ficheros los días 5 y 26

Propagación: Por edición ficheros infectados

Detección: VIRUSCAN  Desde  4064

Motor necesario: Engine 4050 o superior

Infección actual: Inicial    (Inicial, Media, Elevada)
 

Se trata de un nuevo virus de gran tamaño y de características polimórficas que infecta documentos y plantillas del Word. El módulo de la macro tendrá de 2 a 8 letras aleatoriamente y exporta a la carpeta c:\windows\system un fichero temporal que tendrá de 1 a 5 letras seguidas de un número de 1 a 999 y con extensión CPL. Por ejemplo KYVL921.CPL

Es un virus con técnicas Stealth  intercepta la visión de herramientas macro para ocultar su presencia. Asimismo desactiva el aviso de presencia de macros y comprueba la existencia de su clave Revolution en el registro.

Si no hay la clave, envia un email a 75 direcciones de cada lista de Outlook con tres formatos aleatorios de presentación, sobre jokes, cáncer o adultos, y a continuación modifica la clave de registro para evitar mas envíos.

Tiene dos fechas de activación cada mes, en las que borra ficheros:
Cada día 5 de cada mes borra los ficheros *.ini del directorio c:\windows
Cada día 26 de cada mes borra los *.dll del directorio c:\windows\system

Además tiene otros 4 efectos aleatorios, de un 25 % de probabilidad:
Modificar el salvapantallas  3Dtext con el nombre “Revolution”.
Crear virus HTML e infecta todos los ficheros *.HTM por DEFAULT1.HTM
Modfificar el AUTOEXEC.BAT con un mensaje “All things will change...”
Borrar el logo de windows (c:\windows\logo*.sys) y el c:\io.sys
 
 

SATINFO, VIRUSCAN SPAIN SERVICE

Anterior