Andrés Valencia

Bienvenido a la página de Información sobre Macro Virus!

[Información Histórica]

Actualización Tecnológica del SARC (Junio 2 '97)

Los macro virus continúan aumentando en importancia, dado que de 6 a 10 nuevas variantes son descubiertas cada día. La actualización de Junio del Norton AntiVirus incluye una nueva tecnología que permite la detección y reparación de macro virus desconocidos y remanentes de virus residentes en archivos de documentos.

La base de la nueva tecnología, es que se ha hecho conocido que muchos virus se "aparean":
Cuando un virus infecta un documento que ya está infectado con otro virus, el resultado puede ser una nueva variante, que podría no ser detectada ni reparada usando los métodos de identificación normales.
La nueva tecnología (llamada de "Macro Componentes") detecta y repara estos nuevos conjuntos aún antes que el Centro de Investigaciones AntiVirus de Symantec (SARC) haya podido obtener un ejemplo de la infección. Verificando que todos los macros puedan ser atribuidos a un macro virus conocido, todas sus trazas pueden ser removidas con seguridad. La probabilidad de tales apareamientos en el futuro, es reducida considerablemente.

La familia de los MS Word Macro Virus

La familia de los MS Word Macro virus usa el lenguaje de macros WordBasic para infectar y replicarse entre los documentos y plantillas de MS Word. Muy notable, es que esta nueva familia de virus es independiente de la plataforma - infectarán documentos y plantillas en los sistemas operativos DOS, Macintosh, Windows 3.x, Windows 95 y Windows NT.

Estos virus usan varias de las características del "ambiente" de MS Word para ejecutar el macro-código viral.
Cuando un documento infectado es abierto y el virus es ejecutado, generalmente, el virus infectará la plantilla NORMAL.DOT del usuario.
Esta plantilla es la base para la mayoría de los otros documentos y plantillas y está globalmente disponible a todas las otras plantillas de MS Word en el sistema.
Una vez atrincherado en el archivo NORMAL.DOT, el virus se propagará a todos los otros documentos y plantillas a medida que se los abre.
Note que, por defecto, la plantilla NORMAL.DOT es el primer documento que se abre cuando Ud. arranca MS Word sin especificar un documento diferente en la línea de comando.
Esto inmediatamente dará al virus el control cada vez que Ud. arranque MS Word.

Los Word Macro virus fuerzan a que el documento se salve como una plantilla de MS Word, pese al nombre o extensión con que el documento pueda estar archivado.
Forzar a que los documentos se salven como plantillas es usado como un medio de propagación, puesto que los macros no son salvados en los archivos .DOC estándar.
Sólo las plantillas pueden contener verdadero macro-código, y por tanto ser usados como portador.

WM.Concept:

Descripción:

El WM.Concept es un macro virus de MS Word que usa cinco macros para infectar a sus clientes y propagarse a si mismo.

Los macros se llaman:

• AAAZAO
• AAAZFS
• AutoOpen
• FileSaveAs
• PayLoad

Todos los macros son fácilmente visibles con el comando Macro del menú de herramientas del Microsoft Word.
Al infectar, WM.Concept busca los macros PayLoad y FileSaveAs. Si los encuentra, el WM.Concept aborta la infección. Si no los encuentra, el WM.Concept comienza el proceso de infección.

La primera etapa de la infección que el usuario puede ver, es una ventana de diálogo que muestra el número "1" y un botón de OK.
Cuando el usuario presiona el botón de OK, el WM.Concept toma control. El virus reemplaza el comando Save As (Salvar Como) en el menú de File (Archivos) con su propio comando, que fuerza al usuario a salvar los documentos como nuevas plantillas.
Sin aviso, el WM.Concept toma el contenido del macro AAAZAO y lo coloca en otro macro, llamado AutoOpen, en las nuevas plantillas, y copia los macros AAAZFS, AAAZAO, y PayLoad en el nuevo archivo.
El macro AutoOpen arranca automáticamente cada vez que se abre una plantilla, permitiendo al virus replicarse en los nuevos documentos.

Aparte del número "1" mostrado durante la residencia inicial, el WM.Concept no muestra mensajes. Sin embargo, el macro PayLoad contiene el siguiente mensaje:

That's enough to prove my point

(Es suficiente para probar mi punto)

Para información más detallada, enlace con Symantec Word Macro Viruses Information Page

Para MS Word 6.x y 95:

Información sobre la Herramienta de Protección contra Macro Virus

Microsoft Corporation ha desarrollado una herramienta que instala una serie de macros protectores que detectan archivos sospechosos de Word, y alerta a los clientes sobre el riesgo potencial al abrir archivos con macros.
Al ser alertados, los usuarios tienen la posibilidad de abrir el archivo sin ejecutar los macros, abrir el archivo como está, o cancelar la operación de abrir el archivo.
Abrir el archivo sin los macros, asegura que los macro virus no se transmitan y no afecta el contenido del archivo.
A menos que los usuarios puedan verificar que los macros contenidos en el documento no causarán daño, Microsoft recomienda abrir el archivo sin los macros.

Aun cuando el propósito principal de la Herramienta de Protección contra Macro Virus es alertar a los usuarios sobre la existencia de macros en sus documentos, y permitirles abrirlos sin los macros, la herramienta también contiene una versión actualizada del código para búsqueda del virus Concept (también conocido como el Word Prank Macro Virus), y puede ser usada para buscar en su disco duro, archivos de Word que contengan el virus Concept.

Los clientes pueden bajar una versión Norteamericana (Inglés) o Internacional (varios idiomas) de la herramienta desde varios sitios on-line:
La herramienta, información, e instrucciones, pueden ser bajadas del sitio de Microsoft en el World-Wide Web en http://www.microsoft.com/msword/freestuff/mvtool/mvtool2.htm o a través del MSN, el Microsoft Network, usando go word: macrovirustool.
También está en los foros de Word en otros servicios on-line como CompuServe® y America Online®.
Adicionalmente, los clientes que usen versiones en Inglés del Word, pueden obtener la herramienta llamando a Microsoft's Product Support Services en el 206-462-9673 para Word for Windows, y el 206-635-7200 para Word for the Macintosh, o enviando un e-mail a wordinfo@microsoft.com

La Herramienta de Protección contra Macro Virus (mvtool40.exe 71KB) incluye dos archivos:

Scanprot.dot: La plantilla que instala los macros de protección en la máquina del usuario.

Readme.doc: Un archivo que provee información sobre la herramienta y su operación.

Para MS Word 95a (versión 7.0a) y MS Word 97:

Anti Virus para el Normal.dot de Word 97

El macro de protección anti virus fue diseñado para proteger la plantilla Normal contra las infecciones de macro virus. Este macro de protección anti virus asegura el proyecto de Visual Basic para Aplicaciones de la plantilla Normal e impide a cualquier macro escribir cualquier código de VBA en la plantilla normal.
Si un documento de Word 97 es infectado por un macro virus, el virus no podrá reproducirse, ni infectar el ambiente de Word.
Esta protección está activa mientras Ud. no escriba ni edite macros en el Normal.dot.
Si Ud. intenta escribir o editar cualquier macro en Normal.dot, le será requerida una contraseña. Una vez que ha entrado la contraseña, la protección será desactivada para permitirle modificar el código en Normal.dot.
Para que la protección se active nuevamente, Windows debe ser re-iniciado. Por tanto, para evitar infecciones virales, no debe abrir ningún otro documento si ha estado editando o escribiendo macros en Normal.dot, hasta que haya re-iniciado el Windows.
Este macro de protección anti virus fue diseñado para la versión Norteamericana del Word 97, pero es también efectiva para la mayoría de las versiones Europeas.
El macro de protección anti virus no protege contra todos los virus, pero proporciona protección confiable contra los virus existentes más extendidos, incluyendo el Concept, Wazzu, NPad y cualquier otro virus que se propague copiándose en el Normal.dot.
En algunos casos, el macro de protección anti virus podría también impedir que los virus ya residentes en el Normal.dot infectaran otros documentos.
Si, después de usar esta herramienta, Ud. comienza a notar mensajes de error al abrir o cerrar documentos, esto podría significar que su Normal.dot ya está infectado con un virus.
Este macro de protección anti virus no elimina ningún virus - sólo les impide propagarse.

Instrucciones:

Haga un click aquí para abrir (o bajar) el documento de protección contra macro virus (protection.doc).
(Abra protection.doc en MS Word 95a o MS Word 97, si no está ya abierto) (En Inglés)
Haga un click en "Enable Macros" cuando le sea requerido.

Lea el acuerdo de licencia. El macro de protección anti virus corre automáticamente tan pronto como Ud. haga un click el botón "Accept".

Cuando le sea requerido, especifique una contraseña que pueda recordar; será utilizada para proteger el Normal.dot.

La contraseña que especifique, le será requerida cada vez que intente escribir un macro en el Normal.dot. Re-inicie Windows cada vez, después de escribir macros o código en Normal.dot, para asegurarse que la protección anti virus está activa.

Puede ver más información sobre los macro virus de Microsoft Word aquí. (En Inglés)

Microsoft Word Macro Virus Feature Article:
Averigüe si Word está infectado con un macro virus y qué hacer al respecto. (En Inglés)

Esta información proviene de: Virus Protection for the Normal.dot in Word 97 en el sitio de Microsoft en el Web. (En Inglés)

La familia de los MS Excel Macro Virus

La familia de los MS Excel Macro virus usa el lenguaje de macros ExcelBasic para infectar y replicarse entre los documentos y plantillas de MS Excel. Esta nueva familia de virus tiende a ser dependiente de la plataforma - no infectarán documentos y plantillas en otros sistemas operativos.

XM.Laroux:

XM.Laroux es un virus descubierto en Julio de 1996 en África y Alaska, y es el primer macro virus funcional de Excel encontrado en circulación general.
El código del macro virus consiste de dos macros llamados Auto_Open y Check_Files. Los macros son almacenados en una hoja de datos escondida, llamada 'laroux'.

En los archivos de hojas de cálculo infectados (libros de cálculos de Excel), la hoja 'laroux' no es fácilmente visible (está escondida). Cuando se abre una hoja infectada en el sistema, el macro Auto_Open es automáticamente corrido por Excel, quien a su vez llama al macro Check_Files. Esto ocurre cada vez que una hoja de cálculo es activada.

El macro Check_Files entonces copia la hoja con el código viral en un archivo de hojas cálculo almacenado en el directorio de arranque de Excel, llamado Personal.xls
(Por defecto, este directorio es \MSOffice\Excel\XLStart)
Personal.xls es la hoja global de macros; los macros almacenados allí están automáticamente disponibles para todas las otras hojas de cálculo de Excel en el sistema.
Copiar estos macros a Personal.xls permite la infección de todas las otras hojas de cálculo abiertas o creadas en el sistema infectado, en el futuro.

XM.Laroux no contiene cargas deliberadamente destructivas; existe sólo para replicarse.
XM.Laroux sólo trabaja bajo el sistema operativo Microsoft Windows y usando Excel versiones 5 y 7.
No trabaja en el ambiente Macintosh.

XM.Laroux fue escrito en Inglés.

XM.Laroux fue descubierto en distribución limitada y no ha mostrado signos de propagación rápida.

XM.Sofa:

El virus XM.Sofa es el primer miembro de la segunda familia de Macro Virus de MS Excel. Descubierto por el SARC a principios de Diciembre de 1996 (en la costa Oeste de USA), XM.Sofa, como otros Macro Virus de Excel, fue escrito en MS Visual Basic, y se propaga copiando sus propios macros en otras hojas de Excel.
A diferencia de XM.Laroux (el primer macro virus viable conocido para Excel), que infecta creando un archivo llamado PERSONAL.XLS en el directorio de arranque principal, XM.Sofa se propaga por medio de un archivo llamado BOOK.XLT que crea en el directorio de arranque alternativo.

Este virus contiene 4 macro funciones: Auto_Open, Auto_Range, Current_Open y Auto_Close.
Cuando se abre un archivo infectado, el virus toma control y cambia el título arriba de la ventana a 'Microsofa Excel', en lugar del normal 'Microsoft Excel'.

Luego, el virus chequea para ver si el sistema ya está infectado. El virus busca un archivo llamado BOOK.XLT en el directorio de arranque alterno (o por defecto en C:\MSOFFICE\EXCEL\XLSTART si ese directorio no está definido).
Si el archivo no existe en el directorio buscado, el virus muestra el siguiente mensaje, e infecta el sistema:

Microsoft Excel has detected a corrupted add-in file.
Click 'OK' to repair this file.

Cuando se hace un 'click' en el botón de OK, se crea el archivo BOOK.XLT en el directorio de arranque, y el virus está listo para infectar otras hojas de cálculo.

Nota: Si el directorio alternado de arranque está definido, pero no existe, el virus no puede crear el archivo BOOK.XLT, no será infeccioso al arrancar y el mensaje no será mostrado.

Al infectar, el virus crea dos hojas, una con nombre de 12 espacios en blanco, y otra con 13 espacios en blanco. Ambas hojas contienen el texto de los macros, sin embargo, sólo una de ellas es especificada como un módulo de Visual Basic, mientras que a la otra se la define como a una hoja de cálculo normal.

XM.Sofa no contiene una carga deliberadamente dañina.

Xuxa.1656:

Xuxa.1656 es un virus que se cree se originó en México, debido a sus referencias a Xuxa, una popular personalidad de la televisión infantil en México.
Cuando se ejecuta un archivo infectado, Xuxa.1656 se hace residente en memoria y entonces infecta los archivos al ser corridos. El sistema con frecuencia se cae cuando Xuxa.1656 está infectando archivos .EXE, o corriéndolos luego que han sido infectados. Sin importar si aún pueden correr o no, casi todos los archivos .COM o .EXE, pueden ser reparados por el Norton Antivirus, luego de haber sido infectados por Xuxa.1656

En cualquier Sábado de Marzo, entre 9 y 11pm, se muestra el siguiente mensaje:

Xuxa Park 1.0 By Hades. Y luchemos para que todos los niños del mundo tengan derecho a soñar, a soñar por igual.

Para información más detallada, enlace con Symantec Antivirus Research Center (SARC) (En Inglés)

Microsoft Excel Virus Search Add-ins:

Los Add-ins para Microsoft Excel, Virus Search, versiones 1.2 y 2.0 son herramientas que protegen a los usuarios contra los macros virus ExcelMacro/Laroux y Laroux B. La versión 1.2 del Add-In también ayuda a identificar, pero no elimina el virus Sofa.

La versión 1.2 del Add-In, corre bajo Microsoft Excel versión 5.0 para Windows 3.1, Microsoft Excel versión 5.0 para Windows NT (TM) y Microsoft Excel versión 7.x para Windows 95 y Windows NT. La versión 2.0 del Add-In fue diseñada sólo para Microsoft Excel 97.

Para obtener los Microsoft Excel Virus Search Add-ins para MS Office, versiones 95 o 97, enlace con: Microsoft (En Inglés)

Para obtener información sobre los virus de Microsoft Excel, enlace con: Microsoft (En Inglés)

Actualizada: Febrero 7 '05   [Información Histórica de 1997]

Regreso: Página de Información Anti Virus (Macro Virus)