SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | Anterior | ||
Nuevo virus de macro que corrompe ficheros en función del
día del mes
Nombre de virus: W97M/Chronic.A
Alias conocidos: Riesgo Infección: Bajo (Bajo, Alto, Muy Alto) Activación: Corrompe ficheros según el día del mes sea múltiplo de 3, 4, 5, 6, 9 Propagación: Por edición de fichero infectado y posterior edición de ficheros de Word Detección: DATS 4117 Motor necesario: 4.0.35 Infección actual: Inicial (Inicial, Media, Elevada)
Un nuevo virus de macro de módulo de clases y que opera bajo Word 97 /2000 ya era detectado como W97/Generic con el macroanalyze del SCAN en anteriores versiones, y desde la 4117 se identifica como W97M/Chronic.A
Este virus tiene de especial su payload o fechas de activación, según que el día del mes sea múltiplo de 3, 4, 5, 6 y 9, En dichos días corromperá según la lista:
Si el día del mes es múltiplo de 3, como 3, 6, 9, 12, 15, 18, 21, 24, 27 y 30, el virus corromperá la siguiente lista de ficheros:
C:\WINDOWS\ROUTE.EXE C:\WINDOWS\PING.EXE
C:\WINDOWS\SYSTEM\NETOS.DLL C:\WINDOWS\SYSTEM\NETDI.DLL
C:\WINDOWS\SYSTEM\NETBIOS.DLL C:\WINDOWS\SYSTEM\NETAPI.DLL
C:\WINDOWS\SYSTEM\NETAPI32.DLL
Si el día del mes es múltiplo de 4, como 4, 8, 12. 16. 20. 24.y 28, el virus corromperá el fichero:
C:\WINDOWS\WIN.COM
Si el día del mes es múltiplo de 5, como 5, 15, 20, 25 y 30, el virus corromperá la siguiente lista de ficheros:
C:\WINDOWS\SOL.EXE C:\WINDOWS\MSHEARTS.EXE
C:\WINDOWS\FREECELL.EXE
Si el día del mes es múltiplo de 6, como 6,12,18, 24 y 30, el virus corromperá la siguiente lista de ficheros:
C:\WINDOWS\SYSTEM\NETCPL.CPL C:\WINDOWS\SYSTEM\INETCPL.CPL
C:\WINDOWS\SYSTEM\MODEM.CPL C:\WINDOWS\SYSTEM\URL.DLL
C:\WINDOWS\SYSTEM\SENDMAIL.DLL C:\WINDOWS\SYSTEM\MAPI32.DLL
C:\WINDOWS\SYSTEM\INETCOMM.DLL C:\WINDOWS\SYSTEM\INETCFG.DLL
C:\WINDOWS\SYSTEM\INETAB32.DLL C:\WINDOWS\SYSTEM\INET16.DLL
Si el día del mes es múltiplo de 9, como 9,18 y 27, el virus corromperá la siguiente lista de ficheros:
C:\WINDOWS\SYSTEM\LPT.VXD C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MSPRINT.DLL C:\WINDOWS\SYSTEM\MSPRINT2.DLL
Desde los DATS 4117 y engine 4.0.35 ya se controla este virus, por lo que simplemente se debe tener actualizado el antivirus con dicha versión o superior para controlarlo. Si no se tiene y se quiere actualizar, basta con bajar de nuestra web, www.satinfo.es, los DATS actuales y proceder con AUTOUPDATE. Si se quiere optimizar el antivirus al último engine y poder disponer del nuevo motor 4.1.40, procedan a bajar y ejecutar el actual SDAT4122.EXE (o superior)
SATINFO, VIRUSCAN SPAIN SERVICE 20-2-2001
