|
|
||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es | Anterior |
VIRUS DE MACRO W97M/MCK.e
Nombre de virus:
W97M/MCK.eAlias conocidos:
HalimawRiesgo:
Alto ( Bajo. Alto, Muy Alto)Activación:
Los días 20 de cada mes borra el Disco DuroPropagación:
Por edición ficheros WORD infectadosDetección:
VIRUSCAN Desde 4054 o EXTRA.DATInfección actual:
Inicial (Inicial, Media, Elevada)
Se trata de un nuevo virus de macro que infecta el NORMAL.DOT y los documentos que se abran a continuación. Utiliza módulo Halimaw y ha sido creado mediante un kit de creación de virus. Es polimórfico y opera con una subrutina "autoexec",y además "autoopen", "autonew", "filesave", "filesaveas", y "fileclose". Al abrir Word la rutina "autoexec" hace que cualquier fichero que se edite a continuación sea infectado.
Como la mayoría de los virus de macro, desactiva la protección de presencia de macros de Word 97, por lo que no avisa sobre la existencia de macros en los documentos que se editen después de que el virus ya haya entrado en el ordenador..
è
Cuando se abre un fichero infectado, si los minutos están entre 1 y 30, se ejecuta una rutina de borrar el documento, mediante el método de "SELECCIONAR TODO / CORTAR". De todas formas el documento está en el "portapapeles", y antes de salir de la aplicación puede recuperarse mediante un "EDICION / PEGAR" o CTRL-V.Las propiedades del documento son cambiadas a:
Autor: Lucky Warrior
Palabra Clave: W97M/Halimaw
Tema: Anti governement Corrupt Offcials
è
Los días 20 de cada mes, el virus borra los ficheros y directorios del disco duro mediante el comando DELTREE en un shell al DOS.Cuando por abrir un fichero infectado se infecta el NORMAL.DOT, éste es incrementado de tamaño, lo cual unido al aviso de presencia de Macros cuando se abre un fichero infectado, antes de que el virus haya desactivado la protección, y el borrado del documento si horas y minutos están entre 1 y 30, son síntomas de existencia de este virus.
ANEXO EXTRA.DAT para control de BubbleBoy, FunLove, Wyx y Mck
(Para copiar en el directorio del antivirus tras actualizar con 4051)
SATINFO, VIRUSCAN SPAIN SERVICE