IRC-Worm.MSWord.Anumps

Detalles técnicos

Este gusano se propaga a través de canales IRC e infecta documentos de MS Word. El virus en sí es un documento de Word que contiene una macro llamada Paperas.

Instalación

Cuando se abre, el archivo:

• intentar deshabilitar el menú de Seguridad en el menú Macro
• desactivar la prohibición de activar macros en el registro del sistema de Windows
• crea un archivo llamado Mumps.drv en C: directorio de Windows y escribe el código de la macro en este archivo. Este archivo se usa para infectar todos los documentos abiertos de Word
• guarde el documento activo en el disco duro con los siguientes nombres:

 C: WindowsFAQ.doc
 C: Archivos de programaMicrosoft OfficeOfficeSTARTUPMumps.dot 

• comienza la propagación a través de IRC.

Propagación a través de IRC

El gusano modifica un archivo llamado archivo script.ini. Esto significa que el archivo C: WindowsFAQ.doc se enviará automáticamente a todos los usuarios del canal utilizado por la computadora infectada.

Signos de infección

Cuando el usuario intenta abrir el menú Ayuda sobre, el gusano cambia el color de fondo del documento a azul oscuro. Las letras aparecerán en blanco. También abre notepad.exe mostrando el siguiente texto:

 "Windows tiene pocos recursos de memoria. Por favor, reinicie Windows ..." 

Si el usuario intenta imprimir el documento actual y el reloj del sistema muestra 59 segundos, se mostrará un cuadro de mensaje con el siguiente texto:

 "Su controlador de impresora no es compatible con Windows. Instale otros controladores de impresora". 

Si el usuario intenta ver el código de las macros o abre el menú ToolsMacro, se mostrará un cuadro de mensaje con el siguiente texto:

 "Hay algún problema con esta función ..." 

Otro

El gusano intenta registrar C: WindowsFAQ.doc en el registro del sistema como la firma predeterminada para Microsoft Outlook 5.0. El archivo se agregará automáticamente a todos los correos salientes.