Nuevo virus de macro polimórfico para Word 97/2000

Nombre de virus: W97M/Chameleon.a

Alias conocidos: Camaleon

Riesgo Infección: Bajo   (Bajo, Alto, Muy Alto)

Activación: Crea una clave de registro y visualiza ventana

Propagación: Por edición fichero infectado

Detección: Desde DATS 4097

Motor necesario: Engine 4.0.50 o superior

Infección actual: Inicial    (Inicial, Media, Elevada)
 

Un nuevo virus de macro polimórfico se esconde dentro del módulo Thisdocument de las macros de los documentos infectados con este virus.

Cuando se edita un documento infectado, el virus realiza lo siguiente:

Comprueba si existe la siguiente clave de registro, y si no existe la crea e inicia el proceso de infección:

“HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\MVP = Enabled by Total Konfuzion”

A continuación desactiva la protección de presencia de macros.
                 Desactiva la protección de modificación del Normal.dot.
                 Desactiva la protección de conversión a última versión.
                 Escribe el código vírico en C:\Windows\System\Chameleon.dll
                 Crea C:\Windows\Start menu\Programs\Startup\Chameleon.vbs
                 Visualiza una ventana titulada W97M/Chameleon conteniendo
                                  “Greetz from Chameleon”

El código fuente del virus insertado en el Chameleon.dll, es utilizado a continuación para insertarlo en los ficheros que infecta.

Se controla totalmente desde DATS 4097, ya disponibles en nuestra web. Puede bajar los últimos DAT desde la página principal de nuestra web www.satinfo.es, guardar como DATS4.ZIP en C:\DATS y ejecutar la tarea AUTOUPDATE, o  bajar de la web  www.satinfo.es,  el fichero SDAT4097 o posterior, y ejecutarlo. Para actualizar NT o W2000, aconsejamos ejecutar el SDAT4096.exe en cuestión, para asegurar la correcta actualización.
 

SATINFO, VIRUSCAN SPAIN SERVICE                         L.11-10-00

Anterior