NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 
 

Nuevo virus de macro W97M/Rendra

Nombre de virus : W97M/Rendra

Alias conocidos :  W97M/Chiao, W97M_Ferie.a

Peligrosidad : Baja (Baja, Alta, Muy Alta)

Activación :  Apertura, cierre o creación de documentos Word

Propagación :  a través de plantilla global Normal.dot

Detección : DAT 4074 o superior

Motor necesario : Engine 4.0.35 o superior

Infección actual :  Inicial (Inicial, Media, Elevada)
 
 

W97M/Rendra es un virus de macro (de módulo de clases) infector de documentos y plantillas Word97/2000. El virus intercepta  los eventos de MsWord de apertura, cierre y creación de documentos. Si cualquiera de estos eventos se escogen dentro de un entorno Word infectado, el código del virus se ejecutará. Existe un payload de activación por fecha que insertará texto dentro del documento.

Este virus presenta características técnicas del virus W97M/Marker, ya que realiza una búsqueda del comentario "marker" al inicio del documento. Este comentario es una autocomprovación para determinar si se trata de un documento ya infectado, y en caso que no lo esté el virus infectará el documento. La cadena de comentario que añade es:
"{ - This function should never be deleted - }"

Síntomas:
Entre las fechas del 3 de Abril de 2000 y 10 de Mayo de 2000, y después del 15 de Setiembre de 2000, pueden ocurrir los siguientes payloads:

1.- Se insertará el siguiente texto en documentos Word infectados cuando se creen nuevos documentos:

"Microsoft vous souhaite la bienvenue !!!"

El texto aparecerá al inicio del documento en letra roja con fondo de neón de color verde.

2.- La siguiente caja de mensaje puede aparecer  durante el cierre de documentos:

"Vive les mercredi et les jours fériés..."
"Merci d'avoir utilisé ce bel outil qu'est M.S. WORDS !!!
Bill GATES vous le rendra !)"

3.- Se insertará el siguiente texto en documentos Word infectados al cerrar o crear documentos tras el 15 de Setiembre de 2000:

"Ciao !!!" El texto aparecerá al final del documento en letra roja con fondo de neón de color verde.

El SDAT4074 y los DAT 4074 ya están disponibles en nuestra web www.satinfo.es
 
 

SATINFO, VIRUSCAN SPAIN SERVICE

Anterior