sábado, 13 de febrero de 1999

Primer virus que elimina virus

La amenaza vírica no descansa, cada día aparecen nuevos virus, y
nuevas técnicas de infección. En esta ocasión un nuevo virus de
macro elimina otro virus al realizar la infección.
El virus denominado W97M.Ethan funciona de forma similar a la
mayoría de virus de macro y sólo infecta ficheros de Word. El
virus es fácilmente detectable por la acción que realiza, ya que
en un 30 por ciento de los casos cambia el nombre del documento a
"Ethan Frome", el nombre de una novela escrita por Edith Wharton.
También cambia el nombre del autor a "EW/LN/CB".

La infección tiene lugar cuando se cierra un documento Word
infectado, permitiendo al virus propagarse a si mismo a la
plantilla normal.dot. Con unas 50 líneas de código, el virus se
puede considerar único o novedoso ya que es el primer virus que
elimina otro virus.

Ethan borra el archivo class.sys, en el cual se esconde el virus
de macro W97M.Class. El virus Class no es un virus dañino, su
acción se limita a emitir insultos y obscenidades a los usuarios
en determinados días del mes. Aunque no se sabe exactamente la
causa de dicha eliminación, se supone que puede ser debida a
incompatibilidades entre ambos.

Más información:
http://beta.nai.com/public/datafiles/valerts/vinfo/ethan.htm


Antonio Ropero