Nuevo virus de macro de módulo de clases con payload el 28 de Mayo

Nombre de virus: W97M / Timeless

Alias conocidos: W97M / Lesstime.a

Riesgo Infección:Bajo    (Bajo, Alto, Muy Alto)

Activación: Modifica registro de sistema y propiedades fichero

Propagación: Por edición de documentos infectados.

Detección: Desde DATS 4088

Motor necesario: Engine 4.0.50 o superior

Infección actual: Inicial    (Inicial, Media, Elevada)
 

Se trata de un nuevo virus de macro de módulo de clases, que infecta documentos y plantillas de Word 97 / 2000.

Contiene una línea de comentario en el código fuente, que no es visualizada :  “W97M/Timeless by e-“

Contiene fecha de activación (payload) en el 28 de mayo, modificando  el registro de sistema, al abrir en este día un documento infectado por este virus. La clave de registro que inserta es:

HKU\.Default\Control Panel\International\sTimeformat=””

que no es destructiva, sino mas bien una marca de infección.

Asimismo, tras la edición de un documento infectado dicho día 28 de Mayo, modifica las propiedades del Word, cambiando el “nombre usuario” por  ”Timeless Phenomenon”

Como casi todos los virus de macro, también desactiva la protección del Word de aviso de la presencia de macros en los documentos, para ocultar la presencia de macro y proliferar el virus.

Se controla desde DATS 4088, ya disponibles en nuestra web. Para bajarlos, acceder a www.satinfo.es y seleccionar, casi al final de la página principal, “Para descargar los DATS para versión 4.xx pulse aquí”, luego copiar el DATS4.ZIP en C:\DATS y ejecutar la tarea AUTOUPDATE. (o bien ejecutar el fichero SDAT4088.exe). En el caso de que se quiera actualizar NT o W2000, aconsejamos ejecutar el SDAT4088.exe, o cambiar la configuración de la tarea “Actualización automática de DAT” para que el Autoupdate utilice la ruta C:\DATS en lugar de la programada por defecto A:
 
 

SATINFO, VIRUSCAN SPAIN SERVICE                         L.28-7-00
 
 

Anterior