Rynho Zeros Web

Publicidad

Laroux (también conocido como Barisada), es un antiguo virus
de macro que afecta las planillas de Excel, y del cuál
existen a la fecha numerosas variantes.

Nombre: X97M/Laroux.MW
Tipo: Virus de macros de Excel
Alias: Laroux.MW, X97.Laroux, X97M/Barisada
Fecha: 19/dic/02
Plataformas: Windows 32-bits

Esta variante, se propaga a través de hojas de cálculo de
Excel 97, Excel 2000 y XP, y no poseen ninguna rutina
deliberadamente destructiva.

Consiste en dos macros: "AUTO_OPEN" y "CK_FILES" (o
"CHECK_FILES"). El macro "AUTO_OPEN" se ejecuta cada vez que
un documento infectado es abierto. El macro "CHECK_FILES" se
ejecuta cada vez que una nueva hoja es abierta.

Cuando eso sucede, el virus, que utiliza un módulo llamado
"XL5GALARY" crea el archivo "XL5GLARY.XLS" en el directorio
"INICIOXL" de Office, y copia ambos macros en él.

El archivo "XL5GLARY.XLS", es abierto automáticamente cada
vez que se ejecuta Excel.

Cuando un usuario abre un hoja de trabajo infectada, el virus
examina si el propio sistema ya ha sido infectado, buscando
la existencia de alguno de esos archivos en la carpeta de
inicio de "Excel" (InicioXL).

Si el sistema no está infectado, "Laroux" copia su módulo
desde el libro actual y lo guarda como un proyecto VBA
(Visual Basic de macros), con el nombre de "XL5GLARY.XLS" en
la carpeta de inicio de Excel.

Este proyecto también contiene los objetos "Sheet1" y
"ThisWorkbook" y se usa para infectar cualquier libro de
trabajo limpio que se abra luego de la primera infección.
Está oculto mediante atributos de los ojos del usuario, pero
puede ser mostrado seleccionado "Mostrar" desde el menú de
Windows.

La información relacionada con el resumen del documento
infectado (ver "Archivos", "Propiedades"), es borrada
("Título", "Asunto", "Autor", "Palabras clave" y
"Comentario").

* Como sacar el virus de un sistema infectado

Ejecute uno o más antivirus actualizados. Recomendamos el uso
de F-Macrow, antivirus de F-Prot solo para virus macros,
gratuito para uso personal, y que se actualiza con MACRO.DEF
(MACRDEF2.ZIP). Programa y actualización pueden ser
descargados de http://www.vsantivirus.com/f-prot.htm

(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com

Publicidad

Otros articulos que te pueden interesar

• Microsoft Internet Explorer Remote Application.Shell Exploit
• Curso de programación de macros en OpenOffice.org
• PHP-Nuke v 6.7 + Windows = File Upload
• Denegación de servicio en Opera Web Browser
• Revelación de información sensible en Opera 7.52 y 7.53