[escepticos] RV: (EDUCOMP) Virus Alert - Macro Virus Papa

["Pedro Luis Gomez Barrondo" <gargantua@...>]

    Bueno, pues como parece que el tema de Melissa no ha acabado...

Saludos escépticos desde Bilbao.-((:.¬v))))

-----Mensaje original-----
De: Zampatti Maida & Asoc. <iti en zma.com.ar>
Para: ccc.uba.ar! <"Lista EDUCOMP" en ccc.uba.ar>
Fecha: miércoles 7 de abril de 1999 11:29
Asunto: (EDUCOMP) Virus Alert - Macro Virus Papa


>Hola a todos!
>Transcribo el mensaje que me ha llegado de los distribuidores del F-PROT
>sobre las variantes del gusano 'MELISSA'. Gustavo
>---
>X97M/Papa.A Virus
>
>El X97M/Papa.A es un intento de escribir algo equivalente al macro virus
>W97M/Melissa.A., pero para Excel97.
>Fue puesto el 29 de Marzo de 1999 en las newsgroup de alt.sex.bondage
>y alt.binaries.pictures.erotica en un archivo de nombre PASS.XLS,
>pretendiendo contener passwords. Este archivo, una vez abierto con el
>Excel 97 ejecuta una macro que en vez de iniciar una sesion de Outlook
>(como se supone deberia ser) ejecuta Outlook Express y se autoenvia a
>las primeras 60 direcciones en cada libro de direcciones, utilizando
>obviamente para ello, el codigo del virus W97M/Melissa.A.
>
>Comportamiento:
>* El archivo se envia como un documento adjunto al E-Mail.
>* El tema del mensaje es el siguiente: "Fwd: Workbook from all.net and
>  Fred Cohen".
>* El Cuerpo del mensaje dice asi: "Urgent info inside. Disregard macro
>  warning."
>* Luego (se supone que en forma aleatoria, con una probabilidad de 1 a 3),
>  envia un PING con 60.000 bytes de basura a una de dos direcciones IP:
>  207.222.214.225 o 24.1.84.100. Existe una posibilidad de 1 a 3 de elegir
>  cualquiera de las dos direcciones y una probabilidad de 1 a 3 de no
>  elegir nada.
>El programa no intenta infectar otros libros de trabajo de Excel 97,
>solo intenta enviar copias masivas de si mismo por E-Mail (tecnicamente
>es un worm = gusano). Afortunadamente el archivo infectado que fue subido
>se encuentra da~nado y por lo tanto el programa en el no funciona.
>
>El virus X97M/Papa.A no representa una amenaza inmediata, ya que es
>imposible que pueda ejecutarse. De cualquier modo, los errores en el
>pueden ser facilmente reparados, lo que seguramente indica que podemos
>llegar a ver mas virus de este tipo en un futuro no muy lejano.
>
>X97M/Papa.B Virus
>El virus macro X97M/Papa.B es una variante del X97M/Papa.A. La diferen-
>cia radica en que uno de sus bugs (el mas importante) esta arreglado.
>En efecto, funciona y puede hacer lo que la variante A intenta hacer.
>Fue puesto el 30 de Marzo de 1999 en el newsgroup alt.sex.stories y
>alt.sex.incest.
>Comportamiento:
>La variante B es un worm, un archivo que se replica a si mismo sobre las
>redes que utilizan correo electronico (al igual que la variante A, requie-
>re Microsoft Outlook). No infecta otros archivos, es el propio archivo
>que lo contiene quien es enviado una y otra vez.
>El archivo que contiene este virus se encuentra da~nado intencionalmente
>de tal forma que el editor de VBA no puede mostrar el codigo fuente de
>los modulos VBA. Sin embargo, el codigo de estos virus puede ejecutarse
>y replicarse.
>
>Durante nuestros experimentos el virus fallo al trabajar con Excel 97
>SR-1 y SR-2. Al parecer solo corre en Excel 97, probablemente como
>resultado del da~no del archivo. Por otro lado tampoco puede ser
>abierto por Excel 95 o versiones anteriores.
>
>Z A M P A T T I   M A I D A   &   A S O C.
>consultores gerenciales en tecnologia informatica
>
>Larrea 1011  Piso 8  (1117) Buenos Aires  - Argentina
>Tel (011) 4825 1602        Fax(011) 4825 7692
>Mail:   zma en zma.com.ar
>Web site:  http://www.zma.com.ar