Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm.X97M/TORAJA3.C

Alias:
O97M_TORAJA3.C (Trend Micro), O97M/Toraja.C (Trend Micro), BS_TOROJA3.C (Trend Micro), REG_TOROJA3.C (Trend Micro)

Descripción:
Destructivo virus de macro multiplataforma diseñado para aplicaciones Microsoft Office 97 y Office 2000, especialmente para Word y Excel.

Utiliza el lenguaje Visual Basic para aplicaciones (VBA) para infectar los documentos Word, los libros y hojas de trabajo Excel, y sus plantillas respectivas.

El virus deshabilita la protección de virus de macro de las aplicaciones Word y Excel,  elimina los 11250 primeros caracteres del documento infectado. Para las hojas de trabajo Excel eliminará cualquier información contenida en las celdas del rango A1 a J17.

Detalles:
Rutina de infección

  • Verifica que la propiedad Nombre de la plantilla activa contiene el valor “cybersufi” para determinar si las plantillas de MS Word o Excel ya han sido infectadas.
  • Realiza la misma operación para las hojas de trabajo Excel con el valor “megatruh”.
  • Infecta la plantilla global del documento activo, si ha sido previamente desinfectado. Añade un módulo denominado “megatruh2r”
  • Lanza la rutina de infección cuando es activada la Macro Automática "AutoExec"
  • Tras la infección, inhabilita la opción "Cancelar" de la aplicación Word, así como la lista de "documentos recientes" que se muestran en el menú Archivo.

Descarga de ficheros

  • Descargará los siguientes ficheros en el directorio raíz(normalmente c:)
    • WINDOWS.REG: Detectado como "REG_TORAJA3.C", continene un fichero de texto que puede cambiar los parámetros de seguridad de la aplicación Excel hasta la version 10.
    • FIX.BAT: fichero batch destinado a insertar en el registro del sistema las claves contenidas en WINDOWS.REG.
    • SEX.TXT.VBS: Detectado como "VBS_TORAJA.C". Este es el fichero que se encarga de realizar los cambios de los parámetros de seguridad de la aplicación Excel hasta la version 10. También puede deshabilitar la protección de virus y la opción de "guardar" mostrada en el menú fichero de la aplicación Word.

Carga destrutiva.

  • El virus deshabilita la protección de virus de macro de las aplicaciones Word y Excel, elimina los 11250 primeros caracteres del documento infectado. Para las hojas de trabajo Excel eliminará cualquier información contenida en las celdas del rango A1 a J17.
  • Cuando se pulsa sobre la opción de menú Herramientas->Macro->Seguridad en MS Word 2000, mostrará el siguiente mensaje:



  • Crea 15 barras de herramientas minimizadas denominadas “M2r %n” en las zonas superior, inferior e izquierda del documento, que después irá cerrando una por una alternativamente, lo que provocará que el documento salte dearriba y abajo y de la izquierda a derecha y viceversa, hasta que sean cerradas todas la barras de herramientas. (%n será un número del 1 al 15)
  • Deshabilita la Protección de virus de Microsoft Word , Excel 97 y 2000, permitiendo que se ejcuten macos en esos documentos sin aviso previo al usuario.
  • Deshabilita la opción de "guardar" mostrada en el menú fichero de la aplicación Word y la acción que realizan las teclas de función Alt-F11, para el editor visual Basic, y Alt-F8 para macros.
  • También deshabilita las barras del menú "Formato y Estándar" y habilita comandos de control para "formularios" y los controles de activex para visual basic.
  • Crea un fichero denominado EXCEL2R.XLS y lo salva en la carpeta de inicio de Excel para conseguir infectar la plantilla "normal". También realiza esta tarea en MS Word reescribiendo la plantilla NORMAL.DOT con su propio código.
  • Cambiará la versión de la aplicación a "2R", la ID del programa a "MegatRuh 2 Resurrection", e incrementará 7 días al valor de la fecha.

Modificaciones en el Registro.

  • Para deshabilitar los parámetros de seguridad de las aplicaciones, realiza los siguientes cambios en el registro del sistema: 
    HKEY_CURRENT_USER\Software\Microsoft\Office\ \Excel\Security 
” Level”=”0x00000001” 
    HKEY_CURRENT_USER\Software\Microsoft\Office\ \Word\Security 
“Level”=”0x00000001”
  • También añadirá las entradas de registro contenidas en WINDOWS.REG. para deshabilitar las opciones de seguridad de Microsoft Word y Excel 97 y 2000, cada vez que se reinicie Windows 
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 
“FixSys”,"regedit.exe /s \windows.reg"
  • Los siguientes cambios en el registro son realizados para faciltar otras tareas: 
    HKEY_CURRENT_USER\Software\VB and VBA Program Settings\ 
Application\Settings, 
“MegatDate” = "dd+7-mm-yyyy"
    HKEY_CURRENT_USER\Software\VB and VBA Program Settings\ 
Application\Settings, 
“Version” = "2R"
    HKEY_CURRENT_USER\Software\VB and VBA Program Settings\ 
Application\Settings 
“ProgID” = "MegatRuh 2 Resurrection"

Otros detalles.

El siguiente texto se encuentra dentro del código del virus: 

    M2R 
MegatRuh 2 : Resurrection 
(C)CopyLeft 2002-2003, Tri Amperiyanto, CyberSufi 
megatruh@hotmail.com 
to the next generation of mine... 
hope beyond hope...

Solución:

  • Uso de antivirus actualizado.

Más información acerca de este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados