ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.MSWord.Antimarc

Clase Virus
Plataforma MSWord
Descripción

Detalles técnicos

Este virus infecta documentos Word97 y se propaga a través de canales electrónicos globales: chat-net mIRC y MS Outlook Express. Este es el primer virus macro conocido que usa mIRC y Outlook para propagar la infección. El virus contiene los comentarios:


W97M / antiMARC por Lord Natas [Codebreakers 98]
con agradecimiento especial a Rhape79
"Solo somos los juguetes en manos de otro"
El código de virus contiene 15 macros en un módulo "Antimarc": antiMARC, mIRCDropper, OE, Delay, AutoClose, AutoExec, AutoOpen, FileClose, FileExit, FileSave, FileSaveAs, ToolsMacro, FileTemplates, ViewVBCode, FormatStyle.

La macro antiMARC es la macro de virus principal. Otros son o no hacer nada (AutoExec), o llamar a esta macro para infectar documentos de Word97. La macro mIRCDropper envía los documentos infectados a la red de chat, la macro OE envía el mensaje infectado utilizando Outlook Express.

El virus se replica en el entorno de Word al activar cualquier macro automático, excepto AutoExec, es decir, el virus infecta el área macro global y los documentos de apertura, cierre, guardado, guardado con nuevo nombre, al ingresar a Herramientas / Macro, Archivo / Plantillas y otros menús Para copiar su código, el virus utiliza las funciones de exportación / importación a través del archivo SYSTEMMICROSOF.386 que se crea en el directorio de Windows.

Dependiendo del contador aleatorio del sistema, el virus también ejecuta sus rutinas de propagación de Chat y Outlook. Mientras envía su copia al Chat, el virus usa la utilidad MIRC32.EXE. Deshabilita los mensajes de advertencia de mIRC en el sistema mIRC C: archivo MIRCMIRC.INI, crea el archivo infectado C: WINDOWSXXXPASSWORDS.DOC y el script C: MIRCSCRIPT.INI.

El archivo de script de virus contiene las instrucciones que envían el archivo XXXPASSWORDS.DOC infectado a todos los usuarios que se unen al chat. Si hay un mensaje con la subcadena "marcsux", el virus envía al host de este mensaje el texto: "# gotinfected777 X". El virus también envía el mensaje al Chat:


marc FuCk YoU FaScIsT
warblade ¿TODAVÍA CHUPA DE MARC? eh, seguro que sí!
¡super Hey M0therfux0r, empuja X / W hasta tu culo gordo cubierto de granos!
super 'No apoyamos la distribución de virii' – ¡supongo que ahora, perra!
# gotinfected777 Kick Me! – ¡Estoy INCORRECTO!
Al enviarse mediante MS Outlook Express, el virus crea un archivo infectado con nombre aleatorio en la unidad C: selecciona la 20ª dirección en la Libreta de direcciones, crea un nuevo mensaje, lo rellena con letras aleatorias, adjunta el archivo infectado y agrega la línea de pie de página:

J97Z / nagvZNEP de Ybeq Angnf [Pbqroernxref 98]
Este procedimiento no es independiente del idioma y solo funciona bajo la versión alemana de Outlook Express.


Enlace al original