Nuevo virus de macro de Word W97M/Alina.a@mm

Nombre de virus : W97M/Alina.a@mm

Alias conocidos :

Peligrosidad : Baja  (Baja, Alta, Muy Alta)

Activación :     MAPI

Propagación : Por apertura de documentos Word infectados

Detección : VIRUSCAN  Desde 4073

Motor necesario : Engine 4.0.70 o superior

Infección actual: Inicial    (Inicial, Media, Elevada)
 
 

Se trata de un virus de macro de módulo de clases para documentos y plantillas creados por Word97/2000. Este virus primero renombrará el proyecto de VB “ThisDocument” a “Love” dentro de los documentos infectados. Interceptará los eventos de Abrir o Cerrar documentos de Word para aumentar el grado de infección. Igualment se autoenviará via email MAPI utilizando todas las listas de todos los buzones de MS Outlook disponibles.

El mensaje del email es bastante sospechoso.

El asunto dice lo siguiente:
“Important News From Alina Via” (MS Office Username)

El cuerpo del mensaje es el siguiente:
“News of Today:=”

El email contiene un documento anexado que está infectado.

Existe un payload de activación por fecha. Si el dia del mes coincide con el número del mes, el virus guarda el documento actual con la contraseña “Alina”.

El virus creará dos ficheros temporales en la carpeta de inicio de MS Office:
“~Alina.tmp”
“~Love.tmp”

Estos dos archivos son idénticos y contienen el código del virus. Adicionalmente puede proteger con contraseña un documento cuando éste no lo estaba, particularmente después de la activación del payload.

Para su control es muy importante instalar el SuperDAT4073 (ya disponible en nuestra web www.satinfo.es) o superior, ya que requiere el engine 4.0.70
 
 

SATINFO, VIRUSCAN SPAIN SERVICE

Anterior