Trabajo sobre virus -- Jesús Galindo Álvaro-- SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN

EJEMPLOS VIRUS MACRO

CONCEPT
Este macro virus emplea 5 macros para infectar y esparcirse. Los macros son llamados AAAZAO, AAAZFS, AutoOpen, FileSaveAs y PayLoad. Todos ellos son fácilmente visibles desde la opción Tools del Menú Macro.

Después de la infección, el virus verificará la presencia de este macro virus, inmediatamente después constatará la presencia del macro llamado "FileSaveAs". Si cualquiera de estos es hallado, el virus abortará la infección, de lo contrario el proceso de infección se activará.

El primer nivel de la infección que el usuario visualizará será el de una caja de diálogo mostrando el número "1" y un botón de "OK". Una vez que el botón de OK es presionado por el usuario el virus toma el control, reemplazando la función de FileSaveAs con la del propio virus, lo cual obligará que el sistema grabe todos los documentos como plantillas.

Sin aviso alguno, el virus tomará el contenido del macro AAAZAO y lo colocará en otro macro llamado AutoOpen en las nuevas plantillas y copiará el contenido de los macros AAAZFS, AAAZAO y PayLoad al nuevo archivo. El macro AutoOpen es automáticamente ejecutado cada vez que una plantilla es abierta y de este modo el virus se duplica en los nuevos documentos.

FUJIMORI
El autor de este macro virus peruano, quien se identificó con el seudónimo de Jhonny Cracker, a fines del mes de Abril de 1997 propagó su creación a través de las listas de interés de la Red Científica Peruana (RCP). Este virus está escrito en el lenguaje macro Word Basic e infecta documentos de MS-Word. Al abrir un archivo infectado, el virus Fujimori infecta la plantilla global normal.dot. A partir de ese momento cualquier archivo abierto será infectado.

Luego de la infección, mostrará una caja de diálogo conteniendo en forma aleatoria cualquiera de los siguientes mensajes, conteniendo alusiones políticas en forma irónica:

- Fujimori al 2005
- Soy Alberto Fujimori, Presidente Constitucional de la República Peruano-Japonesa del Perú, es decir, colonia del Japón.
- Kenyi, anda preparándome el discurso para el 28 de Julio del 2000.
- Susana! prepárate que en el 2000 me caso con Chuchy Díaz.
- Para el 2010 prometo regresar de cachimbo a la Agraria jiji.
- Disolver! Disolver el Congreso Peruano, para no tener oposición para el 2000.
- Ese Andrade me está quitando la cholidaridad.
- Etc.

Además insertará en el documento cualquiera de las siguientes cadenas:

- Libertad! 22 de Abril de 1997.
- Fujimori al 2005.
- Fuera clones malignos.
- En memoria de los caídos en la crisis de los rehenes.
- La pareja del año: Fujimori y Beatriz Boza!!! Es lo que dice Susana, no se si es por celosa o porque le gusta que Betty sea mi calentado.

LAROUX
Es el primer macro virus detectado en circulación para MS-Excel. Escrito en Visual Basic para Aplicaciones (Visual Basic Applications). Fue detectado por primera vez en Julio de 1996 en Africa y Alaska. El macro virus Laroux está compuesto de dos macros llamadas Auto_Open y Check_Files.

Estas macros son almacenadas en una hoja de cálculo oculta llamada "laroux". Cuando una hoja de cálculo infectada es abierta, la macro Auto_Open es automáticamente ejecutada por Excel, el cual ejecuta a su vez la macro Check_Files. Esto sucede cada vez que la hoja de cálculo es activada.

La macro Check_Files copia la hoja de cálculo con el código del virus a otra hoja de cálculo llamada Personal.xls, que por defecto es almacenada en el directorio \MSOffice\Excel\XLStart. Si este archivo no existe, el virus lo crea.

Personal.xls es la hoja de cálculo global que contiene todas las macros disponibles para las otras hojas de cálculo de MS-Excel, que equivale a la plantilla global de MS-Word (normal.dot). El copiar las macros infectadas a este archivo ocasionará la infección de todas las hojas de cálculo abiertas o creadas en el sistema infectado.

El macro virus Laroux no es intencionalmente destructivo y tiene por único objetivo el multiplicarse e infectar hojas de cálculo en la medida que se propaga. Laroux infecta en sistemas operativos Windows 95/98/Me y Windows NT/2000 que usan las versiones 6.0 y 7.0 de MS-Excel.

WAZZU
Wazzu empezó a difundirse en 1996. Este virus infecta documentos de MS-Word a través de la macro AutoOpen. Cada vez que un documento es abierto, Wazzu activará esta macro, la cual infectará la plantilla global de MS-Word, el archivo Normal.dot. Una vez infectada la plantilla, la macro "PayLoad" es ejecutada.

Esta macro genera un numero aleatorio y si éste coincide con un valor fijo, entonces el virus elimina una palabra del documento. Este proceso se repite tres veces. Luego, Wazzu genera otro número aleatorio y si este número coincide con otro valor específico, entonces el virus inserta la palabra "wazzu" en cualquier posición del documento.

Wazzu y sus múltiples variantes se propaga rápidamente, aún mas rápido que el virus Concept.

CAP

Se trata de un virus de macro que afecta a Microsoft Word. Los síntomas típicos son:

1.- Han desaparecido las opciones de menú Herramientas/Macros... y Herramientas/Personalizar...
2.- Aparece desconectada la opción de menú Archivo/Plantillas... y no puede acceder a ella de ninguna manera.
3.- Han desaparecido las macros que antes estaban en la plantilla normal.dot o en cualquier otro documento de Word.

Cuando CAP infecta documentos, borra todas las macros existentes en ellos. Además quita las opciones de menú Herramientas/Macros y Herramientas/Personalizar y desconecta la opción de menú Archivo/Plantillas para protegerse (si
permitiese entrar en la opción Herramientas/Macros, se podría borrar o modificar este virus-macro).

Contenido: Contiene e instala 10 macros:
CAP           - rutina de infección
AutoExec    - llama a la rutina de infección.
AutoOpen      - - // -
FileOpen      - - // -
FileSave      - - // -
AutoClose     - - // -
FileClose     - - // -
FileSaveAs    - - // -
ToolsMacro    - oculta todas las macros (rutina "stealth")
FileTemplates - - // -

Además, el virus averiguará la versión actual de idioma se instalará tan bien como en inglés. Por ejemplo, si el virus infecta la versión en Alemán de Word, también instalá las macros llamadas DateiÖffnen, DateiSpeichern, DateiSpeichernUnter, DateiSchließenOderAllesSchließen.

El virus contiene como comentario la cadena:

C.A.P: Un virus social.. y ahora digital..
"j4cKy Qw3rTy" (jqw3rty@hotmail.com).
Venezuela, Maracay, Dic 1996.
P.D. Que haces gochito ? Nunca seras Simon Bolivar.. Bolsa !