Nombre de virus: X97M/Reten.d
Alias conocidos: ninguno
Riesgo Infección: Bajo (Bajo, Medio, Alto, Muy Alto)
Activación: Por apertura de hoja de cálculo infectada
Propagación: Por distribución de fichero XLS infectado
Detección: desde DATS 4197
Motor necesario: desde 4.0.70
Infección actual: Inicial (Inicial, Media, Elevada)

X97M/Reten.gen es un virus de macro de Excel que infecta hojas de cálculo creadas tanto en Excel97 como en Excel2000. El virus se encuentra dentro de un módulo de macro denominado Project_P, y hace uso de un fichero externo que crea en la carpeta XLSTART, denominado ValeriaNET.XLM.

Al abrir un libro de trabajo infectado, se desactivan las opciones de menú Herramientas/Macro, Herramientas/Complementos y Herramientas/Personalizar. Asimismo, aparece el siguiente mensaje en Indonesio en la barra de estado de Excel:

Assalammu'alaikum Warrohmatullah..

Al cerrar el libro de trabajo, el virus crea el fichero de texto C:\AlQuran.txt que contiene mensajes en indonesio. El título de la aplicación Excel cambia a :

TELKOMSEL,Begitu Dekat Begitu Nyata....

El virus también crea los ficheros Palestina.html y AsiaGirls.html, que también contienen texto en Indonesio. Estos ficheros no son virus.
El 26 de cada mes, si la hora es posterior a 10:26 am, el virus visualiza el siguiente mensaje:

Si el día es igual al minuto (por ejemplo, día 17/04/02 y la hora 15:17), visualiza este otro mensaje:

El virus intercepta el manejo de Excel (de apertura y cierre de libros de trabajo) para ejecutar su código. Una vez se ha escrito el fichero ValeriaNET.XLM a la carpeta XLSTART, cualquier libro de trabajo utilizado en ese sistema puede infectarse.

Es preciso utilizar como mínimo DATS y motor indicados arriba para su control.

SATINFO, VIRUSCAN SPAIN SERVICE 19 de Abril de 2002

Anterior