publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Groov.AN

Virus Groov.AN

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad alta Propagación Propagación baja Daño Daño alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Groov.AN produce los siguientes efectos:

  • Modifica las propiedades de los documentos infectados.
  • Impide al usuario trabajar con macros y plantillas ya que deshabilita la opciones Macro y Plantillas y complementos, en el menú Herramientas.
  • Extiende su infección a los documentos de Word 97 y a la plantilla global que utiliza esta aplicación.
  • Oculta su presencia desactivando la protección antivirus que Word incorpora para los documentos que contienen macros.
    En consecuencia, Word no solicita confirmación para activar o desactivar las macros que contiene un documento, cuando éste se abre.
  • Desactiva la opción Confirmar conversiones al abrir (en el menú Herramientas - General).
    Los documentos que estén en formatos diferentes a los de Word (por ejemplo.TXT) se convierten al formato de Word automáticamente.
  • Desactiva la opción Preguntar si se guarda la plantilla Normal (en el menú Herramientas – Opciones - Guardar). Al usuario no se le pregunta si quiere aceptar o no los cambios hechos en la plantilla NORMAL.DOT, grabándose automáticamente sin su conocimiento.
  • Modifica la etiqueta de volumen del disco duro C:, asignándole el nombre groovie.
    Intenta mandar un fichero con información del sistema a una dirección de Internet.

Metodo de infección:

Groov.AN crea los siguientes ficheros:

  • GROOVIE.SYS, en el directorio raíz del disco duro (C:\). Este fichero contiene el código del virus.
  • DATA.DOT, en el directorio de Inicio de Word (Archivos de programa \ Microsoft Office \ Office\ Inicio o Program files\Microsoft Office \ Office \ Startup). Este fichero es una plantilla infectada.
  • IP.TXT, en el directorio raíz del disco duro (C:\). Este fichero, en el que se guarda información sobre la configuración IP del sistema, es enviado a una dirección de Internet a través de una sesión de FTP.
  • SCRIPT.SYS, en el directorio raíz del disco duro (C:\). Este fichero contiene los parámetros necesarios para abrir una sesión de FTP y enviar el fichero IP.TXT a una dirección determinada. Este fichero sólo se crea bajo determinadas circunstancias. En concreto, el virus  genera un número aleatorio entre 0 y 4 y si este numero es 3, crea el fichero.

El proceso de infección varía dependiendo de cual sea el origen de la infección:

Desde un documento infectado :

  • El virus se activa al abrir el documento.
  • Crea el fichero GROOVIE.SYS y copia su código en él.
  • Comprueba que la plantilla NORMAL.DOT no esté infectada y que no tenga el atributo de sólo lectura .
  • Si se cumplen ambas condiciones, importa el código vírico desde GROOVIE.SYS y lo copia en la plantilla, infectándola.
  • A continuación, comprueba si existe un fichero de nombre DATA.DOT en el directorio de Inicio de Word (Archivos de programa\ Microsoft Office\ Office\ Inicio o Program files\ Microsoft Office\ Office\ Startup).
  • De no ser así, copia el documento infectado en ese directorio con el nombre DATA.DOT.
  • Este fichero, que es una plantilla infectada, asegura que el sistema permanezca infectado incluso aunque el usuario borre la plantilla NORMAL.DOT o la reemplace con una copia limpia .

Desde la plantilla  NORMAL.DOT  infectada:

  • El virus procede a infectar todo documento que se abra o que ya se encuentre abierto y cambia sus propiedades.
  • A continuación, comprueba si existe un fichero de nombre DATA.DOT en el directorio de Inicio de Word. De no ser así, copia un documento infectado en ese directorio con el nombre DATA.DOT.
    Este fichero, que es una plantilla infectada, asegura que el sistema permanezca infectado aunque el usuario borre la plantilla NORMAL.DOT o la reemplace con una copia limpia.

Desde el fichero DATA.DOT:

  • Comprueba que la plantilla NORMAL.DOT no esté infectada y que no tenga el atributo de sólo lectura.
  • Si se cumplen ambas condiciones, importa el código vírico desde GROOVIE.SYS y lo copia en la plantilla, infectándola.
  • A continuación, comprueba si el documento activo (aquel en el que se está trabajando en ese momento) está infectado o no. Si no lo está, lo infecta copiándole el código vírico desde el fichero GROOVIE.SYS.

Metodo de propagación:

Groov.AN se propaga mediante documentos de Word ya infectados que contagian automáticamente la plantilla global de Word (fichero NORMAL.DOT).

Gracias a este proceso, Groov.AN logra infectar los nuevos documentos de Word que se utilicen o se generen con dicha plantilla.

El documento infectado original llega a los ordenadores a través de distintas vías: mensajes de correo electrónico que contengan documentos infectados, redes de ordenadores, CD-ROMs, descargas desde Internet, FTP, disquetes, etc.
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork