NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior


VIRUS W97M/Suppl :

Nombre de virus : W97M/Suppl

Alias conocidos : W97/Suppl

Peligrosidad : Alta ( Baja, Alta, Muy Alta)

Activación : anulacion ficheros a los 163 horas infección

Propagación : autoenvío por e-mail

Detección : VIRUSCAN Desde 4046 o EXTRA.DAT

Infección actual : Inicial (Inicial, Media, Elevada)

 

NUEVO VIRUS CALIFICADO COMO DE ALTA PROPAGACION

W97M/Suppl (módulo de clases, generador de worm )

 

Se trata de un virus de macro de módulo de clases que tiene añadido un gusano de Internet (worm) que se transforma en un EXE troyano. Todo ello se recibe en un e-mail que lleva anexado un DOC llamado SUPPL.DOC, el cual tiene características parecidas al ya conocido W32/SKA, gusano basado en la modificación del WSOCK32.DLL.

 

Cuando se abre un fichero infectado, si el control de macros está activo, se realizan las siguientes operaciones:

Determina el directorio de Windows usando funciones MAPI

Copia 4 ficheros al directorio de Windows:

WININIT.INI (143 bytes)

DLL.LZH (6.712 bytes)

DLL.TMP (16.384 bytes)

ANTHRAX.INI (38968 Bytes)

Y los expande usando funciones MAPI

 

El Wininit.ini contiene las instrucciones a procesar:

El Wsock32.DLL es renombrado a Wsock33.DLL

El Dll.tmp es renombrado a Wsock32.DLL

El Dll.lzh es borrado

 

En cada e-mail que se envie via SMTP tendrá anexado el fichero SUPPL.DOC, y la cadena Anthrax está en el gusano, no usándola como nombre del virus por existir ya un virus Anthrax de DOS.

 

A las 163 horas de la infección inicial, (6.79 días), el wsock32.dll infectado buscará en todas las unidades (físicas y mapeadas), los ficheros con extensión doc, xls, txt, rtf, dbf, zip, arj y rar y los anulará, siendo necesario su sustitución. El Wsock33.dll podrá utilizarse para

restaurar el wsock32.dll, con un "copy wsock33.dll wsock32.dll"

 

Se recomienda no borrar fichero Wsock33.dll para impedir reinfección

Disponemos de fichero EXTRA.DAT para control de este virus.

 

 

SATINFO, VIRUSCAN SPAIN SERVICE
Anterior