GUSANO

W97M/Heathen

Nuevos Virus

Enciclopedia

Noticias

Top Virus

Anti-Virus

Alias: W97M/Heathen
Tamaño: 12288 (parte binaria)

Se han detectado en España algunos casos de este dañino virus.

El virus Heathen es uno de los primeros virus combinados que infectan tanto documentos de Word como archivos ejecutables de Windows. El virus se transmite de sistema a sistema mediante documentos infectados de Word. La parte binaria, que se activa cada vez que se arranca Windows, se utiliza para infectar otros documentos de Word en el primer disco lógico, incluso si Word no está abierto. Debido a esta particularidad, el virus sólo se replica bajo Windows 95.

Variante: Heathen.12288.A

El virus tiene tres diferencias: una macro AutoOpen y un código binario del tipo UUE dentro de documentos de Word, un ejecutable PE de Windows y una plantilla de Word que una parte del binario utiliza para replicar.

Cuando un documento de Word infectado se abre, el virus extrae su parte binaria en la carpeta \Windows como HEATHEN.VDL y se ejecuta. Este archivo es un ejecutable PE de Windows que contiene el código puro del virus. Cuando se ejecuta, la parte binaria crea los archivos HEATHEN.VDO y HEATHEN.VEX. El primer archivo es una plantilla de Word que utiliza el virus para replicarse. El segundo archivo contiene una copia parcheada de EXPLORER.EXE que sustituirá al EXPLORER.EXE original la próxima vez que se arranque Windows. Para conseguir esto, el virus inserta en el archivo WININIT.INI comandos para renombrar.

Tal como se ha dicho anteriormente EXPLORER.EXE no está infectado sino que está parcheado por el virus. Este coloca 32 bytes de su código de inicio y datos (nombre del archivo) al principio de la última sección de EXPLORER.EXE y redirecciona Entry Point RVA a ese punto. Al ejecutarse EXPLORER.EXE, se lanzará el archivo HEATHEN.VDL utilizando la función LoadLibraryA. Desde ese momento, el virus ya está cargado en memoria.

Cuando el virus está activo, busca archivos que tengan las extensiones .DOT o .DOC en el primer disco duro lógico (C).Si encuentra un archvio, el virus intenta infectarlo utilizando OLE API - la nueva técnica que permite a los virus no utilizar Word para infectar.

El virus tiene unos efectos muy dañinos. Seis meses después de la fecha de infección, el virus borra archivos de registro de Windows: SYSTEM.DAT, USER.DAT, SYSTEM.DA0 Y USER.DA0. Después de esto, Widnwos debe ser reinstalado.

El virus no puede parchear EXPLORER.EXE bajo Windows 98 y los códigos de macro no funcionan en Windows NT.


Copyright © VIRUSPROT.COM