ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.MSWord.Story

Clase Virus
Plataforma MSWord
Descripción

Detalles técnicos

Este macro virus contiene una macro que tiene diferentes nombres automáticos en documentos infectados ("Document_Open") y en el área de macros globales (NORMAL.DOT – "Document_Close"). Como resultado, el virus se activa al abrir y cerrar el documento. Infecta el área de macros global al abrir el documento infectado y se propaga a otros documentos al cerrarse.

Al infectar, el virus también desactiva la protección de virus de macros de Word (advertencia de virus), así como también deshabilita los menús de Word: "Herramientas / Macro", "Herramientas / Personalizar …", "Ver / Barras de herramientas", "Ver / Estado" Bar".

El virus tiene una línea de comentarios utilizada por el virus para separar los documentos infectados y no infectados. Este texto aparece de la siguiente manera:


Jack-In-The-Box

El virus tiene capacidad de gusano y distribuye su copia a través de canales IRC. Para hacer esto, el virus-gusano busca el cliente mIRC instalado en un sistema, y ​​crea un nuevo archivo SCRIPT.INI allí. El virus busca el cliente mIRC en un solo directorio, C: MIRC, y no infecta el mIRC en el caso cuando está instalado en cualquier otro directorio. Al infectar el cliente mIRC, el virus también desactiva sus mensajes de advertencia de seguridad. Para propagarse a través de los canales IRC, el virus envía el documento infectado C: WINDOWSSTORY.DOC que es creado por el virus cuando infecta un sistema. El virus simplemente guarda el documento actual (infectado) allí.

El archivo de script del virus contiene un conjunto de comandos mIRC (aproximadamente 4,5 Kb de instrucciones mIRC) que realizan muchas funciones, incluida la difusión a través de canales, visualización de mensajes, envío de mensajes spam y ocultación.

El virus envía su copia (el documento STORY.DOC) en tres instancias:

instancia 1. Al recibir cualquier archivo de cualquier persona a través de IRC, el script de virus devuelve inmediatamente el archivo infectado STORY.DOC.

instancia 2. El virus usa la lista de notificación de mIRC. La lista de notificaciones en el cliente mIRC contiene una lista de nicks, y en el caso de que cualquiera de estos nicks aparezca en la red, el cliente actual es informado de esto (recibe una notificación). En el caso de que un cliente mIRC afectado reciba una notificación sobre dicha persona, el virus realiza lo siguiente: elimina este alias de la lista de notificaciones; ignora todos los mensajes de este nick; y en 5 segundos, envía un mensaje, que a su vez es seguido 15 segundos después por una copia del virus (documento infectado de Word – C: WINDOWSSTORY.DOC). El mensaje que se envía al nick aparece de la siguiente manera:


Oye, no puedo hablar ahora, pero quería enviarte este archivo. Tiene un
historia divertida que deberías leer, y también tiene macros dentro que te protegen
de muchos virus Solo abra el documento, habilite las macros, y si
usted está infectado, se deshará del virus

instancia 3. Al recibir el comando "Invitar" desde cualquier nick, el script del virus, dentro de 10 segundos, se une a este canal y luego envía el mensaje a esta persona seguido del mismo archivo infectado STORY.DOC:


Gracias por la invitación
Estoy un poco ocupado, así que no puedo hablar mucho ahora. Pensé que querrías
mira este archivo que tengo. Tiene una historia divertida y también tiene macros en ella
que eliminan cualquier macro virus. Simplemente habilite las macros cuando el
aparece el aviso y buscará virus y los limpiará.

El virus también parece informar a su autor sobre su actividad. Al conectarse al servidor mIRC, el virus agrega un nick "SimpleSmn" a la lista de notificaciones – se notificará al mIRC afectado si aparece dicho nick en la red IRC. El cliente mIRC infectado luego detecta cuando aparece una persona con un nick "SimpleSmn" en la red IRC. En este caso, el virus informa a esta persona con el mensaje "Estoy en IRC", por lo que el virus informa a su autor sobre las computadoras infectadas en línea.

Con un comando "Aviso" del alias "Simplicidad", el virus abre la unidad C: en la computadora infectada como servidor de archivos (con acceso completo), por lo que el virus tiene capacidad de puerta trasera.

Al conectarse al servidor IRC, el virus oculta su script y lo restaura al desconectarse: al conectarse, copia SCRIPT.INI del directorio C: MIRC al archivo C: WINDOWSSCRIPT1.INI, lo vuelve a cargar en el cliente mIRC y luego lo borra el contenido C: MIRCSCRIPT.INI. Al desconectarse, el virus copia C: WINDOWSSCRIPT1.INI de vuelta a C: MIRCSCRIPT.INI y borra el archivo C: WINDOWSSCRIPT1.INI.

En caso de que el cliente afectado ingrese un canal que tenga sub-cadenas "help" o "nohack" en el nombre del canal, la secuencia de comandos del virus sale inmediatamente de este canal.

El virus desactiva cualquier mensaje de cualquier usuario en un canal, si envía un mensaje que tenga cualquiera de las siguientes cadenas:


script gusano virus infectar a Jack Box macro Story.doc

Si un cliente infectado ingresa un comando de IRC personalizado "/ BY" (agregado por secuencia de comandos), el virus muestra el texto:


Mirc Worm Jack-In-The-Box
Por SimpleSimon

Si los textos son "Hola", "!", "Hola" o "Hola", el virus abre uno de los antivirus y otras direcciones de Internet que tienen un servidor de correo con capacidad de retransmisión pública abierta:


mirc.com, georgecarlin.com, carrottop.com, anvdesign.net, symantec.com,
drsolomon.com, www.bocklabs.wisc.edu, ebay.com

y busca el sistema SendMail permitido allí. Si está disponible, el virus, al usar este servidor de correo electrónico, envía mensajes de correo no deseado con los siguientes campos:


correo de: Addr1@Addr2.com
rcpt a: Addr3
a: Addr3
de: Addr1@Addr2.com
Asunto: RndText
Cuerpo del mensaje: ¡Jack-In-The-Box ha aparecido nuevamente!

donde Addr1 y Addr2 son cadenas de texto generadas aleatoriamente de hasta ocho letras de tamaño, RndText es texto generado aleatoriamente de hasta 50 símbolos de la longitud, y Addr3 se selecciona aleatoriamente de la lista:


evrt@avp.com
samples@datafellows.com
virus_research@nai.com
tech_support@nai.com


Enlace al original