Andrés ValenciaBienvenido a la página de Información sobre Macro Virus![Información Histórica]
Actualización Tecnológica del SARC (Junio 2 '97)Los macro virus continúan aumentando en importancia, dado que de 6 a 10 nuevas variantes son descubiertas cada día. La actualización de Junio del Norton AntiVirus incluye una nueva tecnología que permite la detección y reparación de macro virus desconocidos y remanentes de virus residentes en archivos de documentos.
La base de la nueva tecnología, es que se ha hecho conocido que muchos virus se "aparean": La familia de los MS Word Macro VirusLa familia de los MS Word Macro virus usa el lenguaje de macros WordBasic para infectar y replicarse entre los documentos y plantillas de MS Word. Muy notable, es que esta nueva familia de virus es independiente de la plataforma - infectarán documentos y plantillas en los sistemas operativos DOS, Macintosh, Windows 3.x, Windows 95 y Windows NT.
Estos virus usan varias de las características del "ambiente" de MS Word para ejecutar el macro-código viral.
Los Word Macro virus fuerzan a que el documento se salve como una plantilla de MS Word,
pese al nombre o extensión con que el documento pueda estar archivado.
WM.Concept:
Descripción: El WM.Concept es un macro virus de MS Word que usa cinco macros para infectar a sus clientes y propagarse a si mismo. Los macros se llaman:
Todos los macros son fácilmente visibles con el comando Macro del menú de herramientas del Microsoft Word.
La primera etapa de la infección que el usuario puede ver, es una ventana de diálogo que muestra el número "1" y un botón de OK. Aparte del número "1" mostrado durante la residencia inicial, el WM.Concept no muestra mensajes. Sin embargo, el macro PayLoad contiene el siguiente mensaje: That's enough to prove my point (Es suficiente para probar mi punto)
Para información más detallada, enlace con Symantec Word Macro Viruses Information Page
Para MS Word 6.x y 95:Información sobre la Herramienta de Protección contra Macro Virus
Microsoft Corporation ha desarrollado una herramienta que instala una serie de macros protectores que detectan archivos sospechosos de Word,
y alerta a los clientes sobre el riesgo potencial al abrir archivos con macros. Aun cuando el propósito principal de la Herramienta de Protección contra Macro Virus es alertar a los usuarios sobre la existencia de macros en sus documentos, y permitirles abrirlos sin los macros, la herramienta también contiene una versión actualizada del código para búsqueda del virus Concept (también conocido como el Word Prank Macro Virus), y puede ser usada para buscar en su disco duro, archivos de Word que contengan el virus Concept.
Los clientes pueden bajar una versión Norteamericana (Inglés) o Internacional (varios idiomas)
de la herramienta desde varios sitios on-line: La Herramienta de Protección contra Macro Virus (mvtool40.exe 71KB) incluye dos archivos: Scanprot.dot: La plantilla que instala los macros de protección en la máquina del usuario. Readme.doc: Un archivo que provee información sobre la herramienta y su operación. Para MS Word 95a (versión 7.0a) y MS Word 97:Anti Virus para el Normal.dot de Word 97
El macro de protección anti virus fue diseñado para proteger la plantilla Normal contra las infecciones de macro virus.
Este macro de protección anti virus asegura el proyecto de Visual Basic para Aplicaciones de la plantilla Normal
e impide a cualquier macro escribir cualquier código de VBA en la plantilla normal.
Instrucciones:
Haga un click
aquí
para abrir (o bajar) el documento de protección contra macro virus (protection.doc). Lea el acuerdo de licencia. El macro de protección anti virus corre automáticamente tan pronto como Ud. haga un click el botón "Accept". Cuando le sea requerido, especifique una contraseña que pueda recordar; será utilizada para proteger el Normal.dot. La contraseña que especifique, le será requerida cada vez que intente escribir un macro en el Normal.dot. Re-inicie Windows cada vez, después de escribir macros o código en Normal.dot, para asegurarse que la protección anti virus está activa.
Puede ver más información sobre los macro virus de Microsoft Word aquí. (En Inglés)
Microsoft Word Macro Virus Feature Article:
La familia de los MS Excel Macro VirusLa familia de los MS Excel Macro virus usa el lenguaje de macros ExcelBasic para infectar y replicarse entre los documentos y plantillas de MS Excel. Esta nueva familia de virus tiende a ser dependiente de la plataforma - no infectarán documentos y plantillas en otros sistemas operativos.
XM.Laroux:
XM.Laroux es un virus descubierto en Julio de 1996 en África y Alaska,
y es el primer macro virus funcional de Excel encontrado en circulación general. En los archivos de hojas de cálculo infectados (libros de cálculos de Excel), la hoja 'laroux' no es fácilmente visible (está escondida). Cuando se abre una hoja infectada en el sistema, el macro Auto_Open es automáticamente corrido por Excel, quien a su vez llama al macro Check_Files. Esto ocurre cada vez que una hoja de cálculo es activada.
El macro Check_Files entonces copia la hoja con el código viral
en un archivo de hojas cálculo almacenado en el directorio de arranque de Excel, llamado Personal.xls
XM.Laroux no contiene cargas deliberadamente destructivas; existe sólo para replicarse. XM.Laroux fue escrito en Inglés. XM.Laroux fue descubierto en distribución limitada y no ha mostrado signos de propagación rápida.
XM.Sofa:
El virus XM.Sofa es el primer miembro de la segunda familia de Macro Virus de MS Excel.
Descubierto por el SARC a principios de Diciembre de 1996 (en la costa Oeste de USA), XM.Sofa, como otros Macro Virus de Excel,
fue escrito en MS Visual Basic, y se propaga copiando sus propios macros en otras hojas de Excel.
Este virus contiene 4 macro funciones: Auto_Open, Auto_Range, Current_Open y Auto_Close.
Luego, el virus chequea para ver si el sistema ya está infectado.
El virus busca un archivo llamado BOOK.XLT en el directorio de arranque alterno
(o por defecto en C:\MSOFFICE\EXCEL\XLSTART si ese directorio no está definido).
Microsoft Excel has detected a corrupted add-in file. Cuando se hace un 'click' en el botón de OK, se crea el archivo BOOK.XLT en el directorio de arranque, y el virus está listo para infectar otras hojas de cálculo. Nota: Si el directorio alternado de arranque está definido, pero no existe, el virus no puede crear el archivo BOOK.XLT, no será infeccioso al arrancar y el mensaje no será mostrado. Al infectar, el virus crea dos hojas, una con nombre de 12 espacios en blanco, y otra con 13 espacios en blanco. Ambas hojas contienen el texto de los macros, sin embargo, sólo una de ellas es especificada como un módulo de Visual Basic, mientras que a la otra se la define como a una hoja de cálculo normal. XM.Sofa no contiene una carga deliberadamente dañina.
Xuxa.1656:
Xuxa.1656 es un virus que se cree se originó en México,
debido a sus referencias a Xuxa, una popular personalidad de la televisión infantil en México. En cualquier Sábado de Marzo, entre 9 y 11pm, se muestra el siguiente mensaje:
Xuxa Park 1.0 By Hades. Y luchemos para que todos los niños del mundo tengan derecho a soñar, a soñar por igual.
Para información más detallada, enlace con Symantec Antivirus Research Center (SARC) (En Inglés)
Microsoft Excel Virus Search Add-ins:Los Add-ins para Microsoft Excel, Virus Search, versiones 1.2 y 2.0 son herramientas que protegen a los usuarios contra los macros virus ExcelMacro/Laroux y Laroux B. La versión 1.2 del Add-In también ayuda a identificar, pero no elimina el virus Sofa. La versión 1.2 del Add-In, corre bajo Microsoft Excel versión 5.0 para Windows 3.1, Microsoft Excel versión 5.0 para Windows NT (TM) y Microsoft Excel versión 7.x para Windows 95 y Windows NT. La versión 2.0 del Add-In fue diseñada sólo para Microsoft Excel 97. Para obtener los Microsoft Excel Virus Search Add-ins para MS Office, versiones 95 o 97, enlace con: Microsoft (En Inglés) Para obtener información sobre los virus de Microsoft Excel, enlace con: Microsoft (En Inglés)
Actualizada: Febrero 7 '05 [Información Histórica de 1997] Regreso: Página de Información Anti Virus (Macro Virus) Mensajes: Andrés Valencia: Comunicaciones |