Panda Software, alerta sobre la aparición de CokeBoy, un
nuevo virus de macro de Word que tiene como característica su
capacidad para enviarse automáticamente por correo
electrónico.
CokeBoy infecta documentos de Word97, Word2000 y WordXP. El
virus se recibe incluido en un documento adjunto -de nombre
variable- a un mensaje de correo electrónico con el asunto "COKEBOY".
Por su parte, en el cuerpo del e-mail aparece el texto: "A
confidential document is for you.. only for u!".
Cuando se ejecuta el mencionado archivo, y con el fin de pasar
desapercibido, CokeBoy desactiva la protección antivirus para
los documentos que contienen macros, el cuadro de diálogo de
confirmación para la conversión de documentos y el cuadro de
confirmación que Word muestra antes de proceder a guardar los
cambios en la plantilla global NORMAL.DOT, que es en la que
están basados la mayoría de los documentos creados con Word.
Al mismo tiempo, crea en el disco duro un fichero llamado
"coke4u.drv" (el cual es detectado por los antivirus de Panda
Software como cokeBoy.Src). Este archivo contiene el código
del virus que será utilizado para infectar NORMAL.DOT. De esta
manera, cada documento de Word que se abra a partir de ese
momento será inmediatamente infectado por CokeBoy.
Además, genera, en el directorio de Windows, una carpeta
llamada "CokeBoy", que contiene un fichero VBS de nombre
aleatorio. Este archivo -detectado por los antivirus de Panda
Software como VBS/CokeBoy- se encarga de enviar el virus a
través de correo electrónico a todas las entradas de libreta
de direcciones de Outlook.
Finalmente, CokeBoy introduce una entrada en el registro de
Windows con el fin de asegurar su ejecución cada que se
reinicie el equipo. De esa manera, cada vez que el usuario
encienda el ordenador, el virus se reenviará.
Los equipos infectados mostrarán, el día 29 de cada mes, una
pantalla con el siguiente mensaje: "This document is infected
by CokeBoy Worm.COKEBOY". Además, el contenido de la opción
"Acerca de Microsoft Word" del menú "?" de la barra de
herramientas será modificado para que muestre una pantalla que
hace alusión al virus.
Cuando el usuario pulse el botón "Aceptar" para cerrar dicho
menú, aparecerá un texto en el documento de Word que se
encuentre activo en ese momento.
Pese a que los servicios de Soporte Técnico de Panda Software
no han registrado ninguna incidencia por parte de este virus,
la multinacional española aconseja no bajar la guardia y
extremar las precauciones con cualquier mensaje de correo
electrónico recibido.
sábado mayo 24, 2014 |