ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN. Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Soluciones para:
Para el hogar
Empresas pequeñas
Empresas medianas
Corporativo
Vulnerabilidades Amenazas
Inicio Amenazas Virus MSOffice

Virus.MSOffice.Shiver

Clase
Virus
Plataforma
MSOffice

Clase de padre: VirWare

Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.

Clase: Virus

Los virus se replican en los recursos de la máquina local. A diferencia de los gusanos, los virus no usan los servicios de red para propagarse o penetrar en otras computadoras. Una copia de un virus llegará a las computadoras remotas solo si el objeto infectado, por alguna razón no relacionada con la función del virus, está activado en otra computadora. Por ejemplo: al infectar discos accesibles, un virus penetra en un archivo ubicado en un recurso de red, un virus se copia en un dispositivo de almacenamiento extraíble o infecta un archivo en un dispositivo extraíble, un usuario envía un correo electrónico con un archivo adjunto infectado.

Más información

Plataforma: MSOffice

Microsoft Office es un conjunto multiplataforma de aplicaciones de productividad publicado por Microsoft. Las aplicaciones de Office son compatibles con muchos tipos de archivos y contenido.

Descripción

Detalles técnicos

Este virus macro infecta dos aplicaciones de Office97: documentos de Word y hojas de Excel. Para ser compatible con diferentes aplicaciones de Office97, el virus usa la compatibilidad VisualBasic y usa el mismo código tanto en Word como en Excel.

El virus infecta el sistema, los documentos y las hojas cuando se abren los archivos (auto-macros AutoOpen en Word y Auto_Open en Excel). Mientras que infecta el virus utiliza las funciones de exportación / importación de Office97 a través del archivo C: SHIVER.SYS. Escribe (exporta) su código allí y luego lee (importa) en un objeto que está siendo infectado.

Tanto en Word como en Excel, el virus se replica utilizando trucos estándar. Al infectar archivos de Word, el virus copia su código al área de documentos o macros globales (NORMAL.DOT). En Excel, el virus engancha el proceso de activación de las hojas y establece las macros de infección ShiverTime como el manejador. El virus también guarda el archivo PERSONAL.XLS infectado en el directorio de inicio de Excel y, como resultado, infecta el área de Excel del sistema.

Uno que deja Word (AutoExit) el virus intenta extender su código de Word a Excel. El virus usa las funciones DDE: ejecuta Excel en ventanas minimizadas y pasa datos y comandos necesarios para crear el archivo PERSONAL.XLS infectado en el directorio de inicio de Excel. El virus infecta Word desde Excel de forma similar: ejecuta Word minimizado, abre el Editor de Visual Basic y lee su código del archivo C: SHIVER.SYS.

El virus no elimina su archivo C: SHIVER.SYS después de la infección y lo usa para volver a infectar Word si el código del virus principal fue eliminado (desinfectado) en documentos y NORMAL.DOT. Para hacer eso, el virus en cada inicio de Word busca el archivo WORD8.DOT en el directorio de inicio de Word. Si no hay tal archivo, el virus lo crea y escribe una macro corta de FileSaveAs allí. Esta macro contiene solo unos pocos comandos que importan el código de virus de C: SHIVER.SYS en documentos que se guardan con un nombre nuevo. Como resultado, el virus permanece activo si todos los documentos y NORMAL.DOT se desinfectan. El virus utiliza la misma forma de exportación / importación para crear el cuentagotas WORD8.DOT, como un búfer de código fuente se utiliza el archivo C: SENTRY.SYS.

Para detectar su presencia en el sistema, el virus utiliza el Registro del sistema y escribe sus valores de ID en la clave "HKEY_CURRENT_USERSoftwareVB y VBA Program SettingsOffice8.0". Hay dos valores que marcan la presencia / ausencia del virus en el sistema: 

Shiver [DDE] = ALT-F11Shiver [DDE] = NoNos (
Dependiendo del contador aleatorio del sistema, el virus restablece esta clave a "NoNos (" y fuerza sus rutinas de infección para renovar WORD8.DOT y PERSONAL.XLS infectados en los directorios de inicio de Word y Excel.

El Virus Interno

El virus contiene 18 macros en un "Módulo1": 
AutoExec - Auto función de Word, contiene la rutina de reinfección de WordAutoOpen - Auto función de Word, contiene la rutina de infección Word docsWordStealth: agrega las macros de sigilo ToolsMacro, FileTemplates, ViewVBCodeen las macros globales de Word (NORMAL.DOT)AutoExit - Auto función de Word, infecta ExcelFindExcel - rutina de búsqueda de ExcelPersonalFun: utilizado en la infección de ExcelCheckMarker - "¿Estás aquí?" función, verifica el RegistroMakeMarker: escribe la identificación del virus en el RegistroPXL_Done: se usa en la infección de ExcelAuto_Open - Función automática de Excel, engancha la rutina de activación de las hojasShiverTime - Hooker e infector de activación de hojaswdTrigger - rutina de disparo de WordxlTrigger - rutina de disparo de ExcelAuto_Close - Función automática de Excel, propaga el virus a Wordretraso: utilizado en la infección de WordwdReEvalInfection - busca PERSONAL.XLS infectado en el directorio de inicio de ExcelxlReEvalInfection - busca WORD8.DOT infectado en Word startup-dirDDE_Info - macro do-nothing, contiene el "copyright":Shiver [DDE] por ALT-F11 con la ayuda de ALT-F4Este es el primer virus producido por The Alternative Virus Mafia (AVM)ALT-F4 - "Nací para morir"ALT-F11 - "Acciones sin pensamientos"

Trigger rutinas

El virus tiene habilidades de sigilo. En Excel, deshabilita los elementos de menú Ventana / Mostrar ... y Herramientas / Macro. En Word también crea las macros ocultas en NORMAL.DOT: ToolsMacro, FileTemplates, ViewVBCode en el módulo "ThisDocument". Como resultado, el virus oculta su código. El virus también desactiva la protección antivirus de Office97.

Dependiendo del contador aleatorio del sistema, el virus ejecuta los siguientes efectos:

  • en Excel inserta en la celda seleccionada al azar los comentarios: 
    Shiver [DDE] por ALT-F11
  • en Word crea el archivo C: SISTER.DLL, escribe el texto allí y ejecuta ESCRIBIR para mostrarlo: 
    Hola hombre, me gusta un poco tu hermanaHola hombre, espero que sea genialHola hombre, un poco pierdo mi menteCada vez que encuentro a tu hermanaBronceado en la piscinaHola, hombre, quiero verla desnudaHola hombre, estoy siempre en su habitaciónTodo solo cuando nadie está allíPasando por su ropa interiorHola hombre, tengo que verla prontoHola, nunca la voy a embarazarPero oye, hombre, ¿cómo puedo resistirla?El día que le doy una alianza de boda¿Vas a ser mi mejor hombre?Hola hombre, me gusta un poco tu hermanaMe gusta un poco tu hermanaMe gusta un poco tu hermanaMe gusta un poco
  • en Word cambia el nombre de los elementos del menú: 
    Herramientas / Macro = "Shiver [DDE] por ALT-F11"Archivo / Versiones ... = "Cum Stained Sheets ..."Editar / Pegar especial ... = "Hola, hombre, hice tu mamá ..."Insertar / Salir ... = "¿Quieres hacer algo de MDMA?"Ayuda / Acerca de Microsoft Word = "Paz, amor y drogas"File / Properties = "Moriré feliz, morirás"Editar / Ir a ... = "Heywood Jablowmi"Tools / Word Count ... = "Conteo corporal"Formato / Fuente ... = "Cunt"Archivo / Cerrar = "Sin ropa"Ventana / División = "Blow Me"Insertar / Imagen = "Crusty Porn GIF"Archivo / Imprimir ... = "My Balls Itch"Formato / viñetas y numeración ... = "Píldoras y agujas"Table / Insert Table ... = "Insertar y sondear"Herramientas / Personalizar ... = "Sodomizar ..."Herramientas / Ortografía y gramática ... = "Ortografía y tu abuela ..."Ver / Barras de herramientas = "Gaybars"Ver / Documento maestro = "Masturbación"

Leer más

Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com

¿Has encontrado algún error en la descripción de esta vulnerabilidad? ¡Háznoslo saber!
Nuevo Kaspersky
¡Su vida digital merece una protección completa!
Leer más
Kaspersky Next:
ciberseguridad redefinida
Leer más
Related articles
11 July 2024
Securelist
Cómo el phishing selectivo se convierte en phishing masivo
27 June 2024
Securelist
Ciberseguridad en las pymes: necesaria ante las crecientes amenazas
24 June 2024
Securelist
El backdoor XZ: Análisis del hook
24 June 2024
Securelist
Análisis de la solidez de las contraseñas de los usuarios
10 June 2024
Securelist
Cómo burlar la autenticación de doble factor con phishing y bots OTP
03 June 2024
Securelist
Evolución de las amenazas informáticas en el primer trimestre de 2024. Estadísticas de amenazas móviles
¿Has encontrado algún error en la descripción de esta vulnerabilidad?
Si has encontrado una nueva amenaza o vulnerabilidad, por favor infórmanos por email:
newvirus@kaspersky.com
¿Has encontrado una nueva amenaza o vulnerabilidad?
Si has encontrado una nueva amenaza o vulnerabilidad, por favor infórmanos por email:
newvirus@kaspersky.com
Soluciones para
Para el hogar
Empresas pequeñas
Empresas medianas
Corporativo
Select language
Sorting
Amenaza
Confirm changes?
Your message has been sent successfully.