|
|
||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es | Anterior |
VIRUS W97M/Suppl :
Nombre de virus : W97M/Suppl
Alias conocidos : W97/Suppl
Peligrosidad : Alta ( Baja, Alta, Muy Alta)
Activación : anulacion ficheros a los 163 horas infección
Propagación : autoenvío por e-mail
Detección : VIRUSCAN Desde 4046 o EXTRA.DAT
Infección actual : Inicial (Inicial, Media, Elevada)
NUEVO VIRUS CALIFICADO COMO DE ALTA PROPAGACION
W97M/Suppl (módulo de clases, generador de worm )
Se trata de un virus de macro de módulo de clases que tiene añadido un gusano de Internet (worm) que se transforma en un EXE troyano. Todo ello se recibe en un e-mail que lleva anexado un DOC llamado SUPPL.DOC, el cual tiene características parecidas al ya conocido W32/SKA, gusano basado en la modificación del WSOCK32.DLL.
Cuando se abre un fichero infectado, si el control de macros está activo, se realizan las siguientes operaciones:
Determina el directorio de Windows usando funciones MAPI
Copia 4 ficheros al directorio de Windows:
WININIT.INI (143 bytes)
DLL.LZH (6.712 bytes)
DLL.TMP (16.384 bytes)
ANTHRAX.INI (38968 Bytes)
Y los expande usando funciones MAPI
El Wininit.ini contiene las instrucciones a procesar:
El Wsock32.DLL es renombrado a Wsock33.DLL
El Dll.tmp es renombrado a Wsock32.DLL
El Dll.lzh es borrado
En cada e-mail que se envie via SMTP tendrá anexado el fichero SUPPL.DOC, y la cadena Anthrax está en el gusano, no usándola como nombre del virus por existir ya un virus Anthrax de DOS.
A las 163 horas de la infección inicial, (6.79 días), el wsock32.dll infectado buscará en todas las unidades (físicas y mapeadas), los ficheros con extensión doc, xls, txt, rtf, dbf, zip, arj y rar y los anulará, siendo necesario su sustitución. El Wsock33.dll podrá utilizarse para
restaurar el wsock32.dll, con un "copy wsock33.dll wsock32.dll"
Se recomienda no borrar fichero Wsock33.dll para impedir reinfección
Disponemos de fichero EXTRA.DAT para control de este virus.
SATINFO, VIRUSCAN SPAIN SERVICE
Anterior