ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.MSOffice.Teocatl

Clase Virus
Plataforma MSOffice
Descripción

Detalles técnicos

Este macro virus infecta documentos de Office97 Word y hojas de Excel. Fue nombrado después de su ubicación interna: "teonanacatl". Es el segundo macrovirus conocido (después de "Access / Word97.Cross") que puede infectar varias aplicaciones de MS Office.

El código del virus se coloca en un módulo llamado StrangeDays y contiene ocho funciones:

AutoClose – Auto función de Word, contiene rutina de infección

AutoOpen – Función automática de Word, deshabilita el editor de código VisualBasic (sigilo)

AutoExit – Auto-función de Word, llama a AutoClose para infectar el documento

ToolsMacro: deshabilita la visualización de macros (sigilo)

ToolsOptions: deshabilita la visualización de macros (sigilo)

FileTemplates: deshabilita la visualización de macros (sigilo)

ViewVBCode: deshabilita la visualización de macros (sigilo)

Auto_Open – Función automática de Excel, rutina de activación de hoja de ganchos

El virus propaga su código bajo la aplicación "nativa" (Word-> Word, Excel-> Excel), y también suelta los archivos infectados a otra aplicación (Word-> Excel y Excel-> Word). Tanto en los documentos de Word infectados como en las hojas de Excel, el virus tiene el mismo código básico. Está escrito de una manera tan precisa que puede ejecutarse sin errores tanto en Word como en Excel desde Office97.

Para infectar objetos "nativos" (documentos u hojas), el virus utiliza las funciones de importación / exportación de VisualBasic: el virus exporta su código básico al archivo C: LO.SYS y luego lo importa a documentos no infectados (en Word) y hojas (Excel). En el caso de Word, para infectar otros documentos, el virus intercepta las funciones automáticas AutoClose y AutoExit e infecta los documentos que están cerrados o al salir de Word. En el caso de Excel, el virus engancha la rutina de activación de la hoja, la función automática Auto_Open lo hace cuando se abre una hoja infectada.

Para infectar a otra aplicación, el virus utiliza un truco con la capacidad de carga automática de Word y Excel para cargar plantillas (Word) y hojas (Excel) desde el directorio de inicio. Para infectar Word desde Excel, el virus crea nuevos archivos NORMAL.DOT (Word) y PERSONAL.XLS (Excel) en el directorio de inicio.

Ambos NORMAL.DOT y PERSONAL.XLS contienen solo una pequeña rutina de 17 líneas que no es el virus en sí, sino el cargador de virus. Este cargador tiene un nombre automático (Auto_Close en Excel y AutoExec en Word), y es ejecutado por el sistema, cuando Word se inicia, con un NORMAL.DOT infectado, o Excel se cierra, con un PERSONAL.XLS infectado. En ambos casos, el cargador lee (importa) el código de virus completo del archivo C: LO.SYS al objeto actual (plantilla NORMAL o PERSONAL.XLS) y, como resultado, lo infecta. El cargador guarda el resultado infectado en el archivo original (NORMAL.DOT o PERSONAL.XLS) y sale. En la siguiente carga, tanto Word como Excel cargarán su NORMAL.DOT y PERSONAL.XLS con el código de virus completo dentro, y como resultado, el virus continuará su propagación.

El virus tiene capacidades de sigilo y anti advertencia: deshabilita las herramientas / Macro, Herramientas / Opciones, Archivo / Plantillas y elementos de menú Ver / VBCode, así como también desactiva VisualBasicEditor y VirusProtection. También cambia las instrucciones de VirusProtection en el registro del sistema.

El 26 de cualquier mes, muestra un MessageBox y elimina todos los archivos en el directorio actual, y el texto en el MessageBox es el siguiente:

Strange Days por Reptile / 29A

Días extraños nos han encontrado

Días extraños nos han rastreado

Ellos van a destruir …


Enlace al original