|
|||||||
|
|
|
|||||
|
|
|||||||
 |
  |
||||||||||||||||||||||||
|
Virus O97M/Tristate.a Nombre del Virus: O97M/Tristate.a Descripción:
Dado que según desde que aplicación sea ejecutado, el virus reacciona de manera distinta, daremos una explicación general de lo que hace. Cuando el virus se activa en el Procesador de Textos, verificará primero si la plantilla normal ya esta infectada. Si éste no es el caso, desactivará la protección de virus de macro para las tres aplicaciones de Office 97 y quita todos los macros existentes de la plantilla normal de Word. Cuando se activa en Excel, realiza una revisión si hay que un archivo nombrado como "Book1" o "Libro1", en el directorio de inicio de la planilla de calculo. Si el archivo está presente, asume que el archivo ya se encuentra infectado, pero si el archivo no es ninguno de los mencionados, lo creará y salvará en el directorio de inicio de Excel. Finalmente intenta infectar la "Presentación en blanco" de la plantilla de PowerPoint. El virus lanzará PowerPoint y chequeará si ya esta infectado verificando la existencia del módulo nombrado como "Triplique". Si el módulo no se encuentra se agregará de forma invisible a la primera diapositiva y copias de él a la plantilla. El proceso de infección es similar en las tres aplicaciones mientras la activación difiere en cada aplicación. En Word se activará cuando un documento está cerrado como se ha descripto anteriormente. En Excel se activa cuando el "libro" infectado queda deshabilitado. En PowerPoint hay una oportunidad de 1/7 que se activará de forma invisible cuando se pulsa el botón del ratón. Este virus no tiene un "cargador" pero quitará todos las macros intencionalmente de la plantilla global de Word. Este virus no infecta directamente los documentos, plantillas de cálculo y presentaciones, sino que lo que hace es infectar los archivos por defecto de cada aplicación. Al ejecutarse un archivo infectado, este copia un módulo de Visual Basic para Aplicaciones (VBA) llamado "Tripiclate" a los siguientes archivos: "Libro1.xls", "Presentación en blanco.POT" y "Normal.dot". Debido a esto, cuando se cree un nuevo archivo de estas aplicaciones, este será infectado automáticamente. Además, el virus se encarga de "esconderse", dado que desactiva la protección antivirus en macros del Word, Excel y PowerPoint. Esta debe ser activada nuevamente manualmente sí su equipo ha sido infectado por este virus. Existen distintas variantes de este virus que casi no difieren en cuanto a su funcionalidad, sólo cambian algunas líneas de código. Para eliminar el virus de PowerPoint puede utilizar el FreeWare que Ofrecemos: AntiVirus: Ejecutar "RMV-TRIS", es un FreeWare de AvertLabs (Viene en Zip), presiona el icono para descargarlo:
|
