Tbsis.gif (4898 bytes)

Una mirada a los macrovirus

 

DOWNLOAD

 

Boletín Informativo – Enero, 8 de 1,998

Formato Documento o Formato Template (*.doc/*.dot)

Uno de los efectos de una infección por un Macro-Virus bajo MS-Word 6.0 ó 7.0(a), es que los documentos sólo pueden guardarse como archivos de tipo Template. La razón de ello es simple: sólo los documentos Template, pueden cambiar o infectar cualquier otro documento. Por lo tanto cuando un virus infecta un documento, éste se queda en formato Template; para que éste a su vez, pueda copiar el Formato Template a otros. De cualquier otra manera un Macro-Virus no podría ejecutarse.

Ahora, la diferencia entre un Objeto de Word y Template o Documento, es sólo un byte. Sin embargo éste byte, es la causa de todos los problemas. Qué sucede, cuando se desinfecta un documento de Ms-Word 6.0 o Ms-Word 7.0(a)?; ¡Los macros desaparecen!... Quizás esto puede ser bueno. Pero el problema real es, qué hacer con el byte del Template. El resetearlo no bastaría. El Template original cambiará el documento y todos los datos del Template (Personalizar, Barra de tareas, Macros, Estilos de hoja, etc.) se perderían. La base de datos usada por TbScan fué actualizada para resolver éste problema. Ahora cuando se encuentra la infección, en un documento normal (Infección local) reseteamos el byte de la Template, y sí la infección fué en un documento de Template (Infección global) no tocamos el byte de la Template. Para poder detectar la diferencia, se aplica la siguiente regla: las extensiones de los archivos de documentos es por default *.doc; por lo que no se toca las extenciones diferentes.

 Documentos de Word 6.0/7.0(a) y Word 8.0

 Algunos usuarios que usan Word 8.0, tienen la siguiente pregunta: Tengo un documento infectado de Word 6.0 o Word 7.0(a) y éste documento fué desinfectado con TbScan. Cuando yo cargo éste documento en Word 8.0, aparece un mensaje diciendo que si deseo ejecutar los macros inmersas en el documento. ¿El documento está infectado o no? Para entender lo anterior, es necesario explicar las diferencias del byte ente Word 6.0, Word 7.0(a) y ahora en Word 8.0

 En Word 6.0 y Word 7.0(a) se usa el Macrolenguaje de WordBasic. En Word 8.0 se usa VBA5 (Visual Basic para Aplicaciones versión 5) y aunque tiene más poder que WordBasic, no es compatible con WordBasic.

 Para ayudar a los usuarios que tienen macros en Word 6.0 o Word 7.0(a), Microsoft contempló un convertidor de WordBasic a VBA5. Y aunque ésta sea una manera de traducir las macros, no se garantiza la funcionalidad de las mismas después de la conversión. Cuando un usuario abre un documento de Word 6.0 o Word 7.0(a) en Word 8.0, este traducirá automáticamente el formato anterior en un nuevo formato. Pero si se detectan macros inmersos en el documento, Microsoft Anti-virus presentará un mensaje, preguntando al usuario si desea abrir el documento deshabilitando las macros.

 La realidad es que quizás, este mensaje genera algunas dudas. Por lo que TbScan habilitó la opción de remover las macros del documento infectado. Sin embargo Word 8.0 no conoce esto.

 ¿Cómo es esto posible?

 El Equipo de Investigación y desarrollo de ThunderByte, descubrió, después de algunas pruebas, que Word 8.0 no es tan inteligente, manipulando documentos de un formato anterior. Y cuando se abre un documento de Word 6.0 o Word 7.0(a), y se busca el área de registro de la tabla de macros y las macros se encuentran en esta sección se presenta el mensaje de advertencia ya conocido. Lo interesante es que Microsoft no verifica, que el documento que se está abriendo es una Template o no, o también si las macros inmersas están borradas o deshabilitadas.

 Para prevenir que éste mensaje no se presente, nosotros mejoramos la rutina de rastreo cuando se limpian o se eliminan macros de documentos infectados. Y en casos donde después de limpiar un documento, aún estén presentes las macros y otros datos de formato de Template, se removeran de la tabla de macros del documento. Esto permite eliminar el mensaje de Microsoft al abrir un documento de Word 6.0 o Word 7.0(a) que estuvo infectado.

 AllFiles vs. AllExec

 A partir de la versión 8.03 del ThunderByte, se tendrá dos opciones similares: todos los Ejecutables (AE) y todos los Archivos (AF). Pero existe una importante diferencia entre las dos opciones. Con la aparición de los Macro-Virus, todos los usuarios activaban TbScan con la opcion AllFiles; por que, los Documentos y Templates, pueden tener cualquier extensión. Y con ello, el proceso de rastreo se retardaba, y el tiempo se incrementaba. Y aunque TbScan es reconocido como el más rápido; la opción, realmente consume más tiempo, por que al rastrear, no sólo se buscaban Macro-Virus, si no toda clase de virus, como aquellos que infectan archivos con extensiones ejecutables.

 Desde de la versión 8.03, la opción "Todos los Archivos" de TbScan, que rastrea todos los archivos fue modificada, para buscar sólo Macro-Virus en todos los archivos y la opción "Todos los Ejecutables", permitirá buscar virus binarios en toda clase de archivos. Por omisión, todos los archivos ejecutables y archivos de OLE2 (Word/Excel) serán rastreados.

 ¿Cómo se usa ésta opción?

Se espera que la opción "Todos los Archivos" se use con más frecuencia, yá que el incremento de Macro-Virus ha sido importante. Y aunque ésta opción, puede ser de gran ayuda, también se puede habilitar un módulo de actualización, vía Internet, que permite actualizar el archivo de definición de firmas de Macro-Virus (TbScan.Def). Pero hay que recordar que el crecimiento de Macro-Virus ha sido exponencial y aunque se tenga la última actualización del archivo TbScan.Def, puede que no se detecte algún especímen, por lo que en caso de que esto suceda, le agradeceríamos nos enviára una muestra del Macro-Virus, no detectado a nuestro laboratorio, para darle una rápida respuesta.

---------- o ----------

Cualquier duda o consulta, comuniquese con CompuPlus S.A., a los Teléfonos: 241-0594, 242-8767 o al TeleFax: 444-3755.