Virus VMPCK1.BY

Efectos:

VMPCK1.BY produce los siguientes efectos:

• Modifica la plantilla global (NORMAL.DOT) del programa Word.
• Infecta documentos y plantillas en formato Word.
• Modifica varios parámetros de configuración del programa Word.
• Oculta su presencia, desactivando la protección antivirus que Word incorpora para los documentos que contienen macros.
• Los lunes, muestra una ventana de MS-DOS al arrancar o reiniciar el equipo.

Metodo de infección:

El virus VMPCK1.BY ataca al sistema por medio de un documento Word compuesto por las macros: AutoExec, Virus, AutoOpen, AutoExit, y FilePrint.

VMPCK1.BY crea los siguientes ficheros:

• WD1_.DRV, localizado en el directorio del sistema de Windows, es el fichero donde se encuentra el código de infección.
• WORD97.DOT, localizado en el directorio de Inicio de Office, es una plantilla de Word que copia el código de infección desde el fichero WD1_.DRV hasta WORD97.DOT.

La relación de estos dos ficheros comienza cuando se abre un documento infectado con VMPCK1.BY. Entonces, este virus busca el fichero WORD97.DOT. Si no existe, VMPCK1.BY crea el fichero WD1_.DRV en el directorio de sistema de Windows.

• WIN32WD.DR1, es el fichero que almacena el mensaje con la imagen y el texto que el virus tiene reservado para mostrar los lunes.

VMPCK1.BY modifica el siguiente fichero:

• AUTOEXEC.BAT, localizado en el directorio raíz del disco duro, es el responsable de ejecutar el fichero WIN32WD.DR1 cuando detecta que la fecha del sistema es lunes.

VMPCK1.BY modifica las siguientes entradas en el Registro de Windows:

• HKEY_CURRENT_USER\ Software\ Microsoft\ Office\ 8.0\ Word\ Options.

Modificando el valor de la clave EnableMacroVirusProtection. Esto origina la desactivación de las opciones de seguridad de macros incorporadas en Word.

• HKEY_CURRENT_USER\ Software\ Microsoft\ Office\ 8.0\ Word\ xixbeta1.

Después de que el virus comprueba la fecha del sistema, si el día de la semana no es lunes, le asigna el valor notyet.

Si el día de la semana es lunes, el virus crea el fichero WIN32WD.DR1 y comprueba que el valor sea distinto de OK para modificar el fichero AUTOEXEC.BAT.

Metodo de propagación:

VMPCK1.BY se propaga mediante documentos de Word ya infectados que contagian automáticamentela plantilla global de Word 97 (fichero NORMAL.DOT).

Gracias a este proceso, VMPCK1.BY logra infectar los siguientes documentos de Word que se utilicen o se generen con dicha plantilla.

El documento infectado original llega a los ordenadores a través de distintas vías: mensajes de correo electrónico que contengan documentos infectados, redes de ordenadores, CD-ROMs, descargas desde Internet, FTP, disquetes, etc.

Otros detalles:

VMPCK1.BY es un virus de macro que también se caracteriza por:

• Ser un virus de tipo polimórfico, es decir, añade a su código de infección contenidos o caracteres que lo hacen diferente en cada infección.
• Añade un comentario a las propiedades de los documentos infectados: drop klinton, not bombs!.
• El código de la macro que origina la infección, contiene adicionalmente el siguiente código a modo de comentarios:

'------------------------------------------------------------------

'xix-lx/pt macro-virus v3beta1 for ms-word97. THIS VIRUS IS HARMLESS! so, don't worry :) drop klinton, not bombs!!

'by the way, there is a lot of crap inside this macro. it's the only way to avoid the virus scans ;) and it works!

'------------------------------------------------------------------

'usage: open word97; tools; macro; vb editor; file; im