La Taberna del Grumete: Al Menú Taberna Grumete

Virus macro

Texto: Lenguaje Binario (*)
Adaptación web: Antonio Caravantes (ac@ctv.es), 06-97


Desde hace ya algún tiempo, una nueva generación de virus capaces de infectar documentos de texto -en lugar del antiguo procedimiento de infectar programas- se ha diseminado a través de la red y otros sistemas electrónicos de información. Eduardo Figueroa nos entrega en dos partes este completo análisis sobre la nueva epidemia de los macro virus, donde hasta los venezolanos hemos participado con otro virus político, parecido a aquél que tocaba el Himno Nacional.

Hoy en día, muchas aplicaciones comunes de automatización de oficina (procesadores de texto, hojas de cálculo, presentaciones, etc.) poseen lenguajes «macro» muy poderosos que han hecho posible la creación de virus capaces de «reproducirse» entre los archivos de datos de éstas.

Estos «macro virus» son capaces de tomar el control del ambiente en el que «viven», llegando incluso a ser capaces de saltar de una plataforma a otra (por ejemplo, un documento de una aplicación creado en PC puede «infectar» a una Mac).

¿En dónde viven y se desarrollan esos virus?

Para que una aplicación soporte la construcción y contagio de estos virus se requiere de las siguientes condiciones:

 

1. La aplicación debe soportar macros incrustados o conectados a un archivo de datos.

2. La aplicación tiene un lenguaje macro que permite que los mismos puedan ser compartidos por distintos archivos de datos.

3. La aplicación tiene un lenguaje macro que permite realizar tareas sin necesidad de la intervención y/o conocimiento del usuario.

Entonces, ¿cuáles aplicaciones permiten eso?

Hasta el momento, Microsoft Word, Microsoft Excel y Lotus AmiPro cumplen con las tres condiciones. El lenguaje macro de Corel WordPerfect es igual de poderoso, pero los macros son guardados en archivos individuales, lo cual dificulta el contagio (para que esto ocurriese, tendrían que ser transferidos manualmente junto con los documentos).

La mayoría de los macro virus escritos hasta ahora atacan a los documentos de Microsoft Word, en sus diferentes versiones, 2.0, 6.0, 7.0 (Office '95), tanto para PC como para Mac; e, incluso, el del nuevo Office '97, que posee un lenguaje macro mucho más poderoso: el VB5...

Modus operandi

Los macro virus de Microsoft Word o Excel son transmitidos a través de los documentos u hojas de cálculo creados con ellos en cualquier medio (disco duro o disquete).

Infección

Cuando un documento es abierto por primera vez, la aplicación (Word o Excel) busca la presencia del macro AutoOpen macro. Si lo encuentra y la variable global DisableAutoMacros no está seleccionada, entonces Word o Excel automáticamente ejecuta el macro AutoOpen (sin notificar nada al usuario). También cuando se cierra se ejecuta el macro AutoClose si está presente. Como vemos, con sólo insertar un macro virus en estos dos macros es suficiente para infectarnos. Atención: ¡activar la variable DisableAutoMacros es sólo una solución parcial! Ver abajo.

Adicionalmente, cuando uno abre, cierra o imprime archivos, estas aplicaciones buscan la existencia de macros escritos para modificar y/o afectar estas funciones (por ejemplo, para que cada vez que uno imprima guarde el documento). Un virus puede ser insertado al usar estas funciones.

En Word, los macros son guardados en archivos denominados «plantillas» (usualmente con la extensión .DOT), así que durante una infección, los macro virus son capaces de convertir los documentos a plantillas y copiarse en ellos.

Bookmarks

Los macro virus se están difundiendo rápidamente, pero los amigos de las casas fabricantes de productos antivirus están trabajando duro. Enccuentre tecnología de punta en materia de antivirus en estas direcciones:

F-Prot (shareware), F-Macro (freeware) o el F-Prot Pro (paga- ware), versiones para DOS, OS/2, W3.x, WNT y W95.
http://www.datafellows.com

Mcafee Viruscan (shareware), versiones para DOS, OS/2, W3.x, WNT y W95.
http://www.mcafee.com

IBM Antivirus (paga-ware), versiones para DOS, OS/2, W3.x, WNT y W95.
http://www.ibm.av.com

Norton Antivirus (paga-ware), versiones para DOS, W3.x, WNT y W95.
http://www.symantec.com/avcenter/index.html

Thunderbyte AntiVirus (shareware), versiones para DOS, W3.x, WNT y W95. Ir a la sección de antivirus de:
http://www.tucows.com

Dr. Solomon's AV Toolkit (pagaware) y Findvirus (freeware), versiones para DOS, OS/2, W3.x,WNT y W95
http://www.drsalomon.com

AntiViral Toolkit (pagaware y freeware), versiones para DOS, OS/2, W3.x, WNT, W95 y Novell
http://www.command-hq.com/

Vacuna Microsoft (freeware)
http://www.microsoft.com

Información sobre macro virus de PER Systems Antivirus (Perú)
http://www.persystems.com.pe/macrovir.htm

Efectos

Una vez que se infecta un documento u hoja de cálculo, los macro virus son capaces de adueñarse de las funciones estándar de la aplicación, controlando así la posibilidad de, por ejemplo, evitar que el usuario guarde la información que ha estado escribiendo por minutos (u horas) para que pierda todo su esfuerzo en cuestión de segundos.

En el caso de Word, los macro virus se instalan en la plantilla Normal.dot, que es la que uno utiliza (involuntariamente) para crear documentos nuevos, así que cada vez que abramos un archivo o lo guardemos, estaremos infectando esos documentos, guardándose adicionalmente el virus para futuras sesiones. En Excel ocurre algo similar con el archivo Personal.xls.

Se han detectado macro virus capaces de «soltar» virus normales, pero hasta ahora éstos han tenido muchos problemas, siendo ineficientes en esta tarea.

En muchos casos, un virus escrito para una versión específica de la aplicación sólo afectará esa versión, pero de igual forma el documento estará infectado, así que siendo portador, una vez que sea abierto por una versión de la aplicación de ese lenguaje específico se activará el virus.

¿Cómo resolver el problema?

Estos macro virus están definitivamente de moda, hasta ahora se conocen más de 760 (incluyendo variantes) y cada día que pasa se consiguen más, su crecimiento exponencial nos obliga a pensar que es muy probable que nos topemos con uno de estos desgraciados cibernéticos muy pronto: tanto en el trabajo, como en la red, como en la universidad existe esa posibilidad.

Hoy en día muchos antivirus son capaces de detectar y remover los macro virus más comunes, pero dada la velocidad con que salen nuevas variantes, lo mejor (y más flexible) es tener actualizada la base de datos de su programa antivirus favorito, si es posible la de ayer. También se puede probar con la «vacuna» de Microsoft que se puede bajar desde su página en http://www.microsoft.com. Encuentros cercanos del tercer tipo

He tenido la (mala) suerte de ser víctima de un macro virus hecho en Venezuela (Cap.A) y de ver en acción a otro muy famoso, el Wazzu.

Estos macro virus se transmiten con sólo abrir un documento de Word infectado, una vez abierto éste «copia» el código infeccioso en la plantilla Normal.dot y a su vez empieza a «contaminar» a todos los archivos Word que abramos desde ese momento, ya sea en disquete o en el disco duro.

Se sabe que el Cap.A apareció en el mes de febrero y se ha expandido a todas las corporaciones a nivel mundial, es de origen local (Maracay, Venezuela), elimina del menú de herramientas la opción Macros, da error de insuficiencia de memoria al abrir documentos y aparentemente, cada cierto tiempo muestra el siguiente mensaje (aunque nunca lo vi):

«C.A.P. Un virus social... y ahora digital... j4cky Qw3rty (jqw3rty@hotmail. com) Venezuela, Maracay, Dic. 1996 P.D. ¿Qué haces, gochito? Nunca serás Simón Bolívar... Bol...!».

La opción que tomé fue, vía Internet, bajar la versión más reciente de F-Macro (antivirus actualizado casi a diario con una versión para Windows llamada F-MacroW, pero la interfaz no es muy flexible) y desde el DOS usé la opción:

F-Macro C: /disinf /remnants

Esta opción elimina al virus y cualquier rastro que deje, eliminando inclusive a todos los macros que contenía el documento, una opción drástica, pero efectiva. Además de hacerlo con el disco duro, también se lo apliqué a todos los disquetes que había usado en las últimas dos semanas.

En el caso del Wazzu, éste, que tiene muchas variantes, es capaz de colocar aleatoriamente en el documento la palabra Wazzu además de que tiene la capacidad de cambiar palabras de sitio, ¡haciendo perder horas de trabajo en un documento en sólo segundos!

Fuentes

Pueden conseguir más información al respecto usando el programa Virus Tutor (freeware) que trae información sobre la historia de los virus, y los distintos tipos que pululan por ahí (incluyendo los llamados hoaxes).
http://www.cknow.com

Sobre macro virus (incluyendo Cap.A) en la página de F-Prot:
http://www.datafellows. com/vir-info/


(*) Texto extraído del boletín electrónico LENGUAJE BINARIO, Nº 57 - 27 de mayo de 1997, remitido a las FAQs de Grumetes por Berna Wang (bernawang@honte.es), el 21-06-97.