Virus de macro (sí, otra vez)

Al igual que como informan los amigos de Hispasec, hoy nosotros también hemos recibido un archivo de Microsoft Word con una macro que permite copiar un archivo ejecutable whlp32.exe al sistema y ejecutarlo.

Si bien este es un caso aislado y Office bloquea este tipo de macros, puede indicar que los creadores de malware están buscando otras alternativas de infección y han vuelto a poner sus ojos en los documentos de ofimática, como hace más de 10 años.

Esta macro también baja el nivel de seguridad configurado por defecto en Microsoft Word (Alto), lo que podría permitir a otros programas similares ejecutarse posteriormente sin autorización del usuario. A continuación vemos parte del código de la macro y la función que realiza esta acción particular:

En el caso de ESET NOD32, el archivo dañino es detectado como W97M/TrojanDropper.Fordo.B, donde justamente el prefijo W97M indica que se trata de un virus de Office 97 o superior.

Más vale estar prevenido confirmando que el nivel de seguridad para la ejecución de macros se encuentre en Alto ya que, al parecer, a los creadores de malware no les interesa la historia y cuan vieja sea la técnica utilizada para infectarnos.

Cristian

Autor , ESET

  • Maurock

    Tienes razón
    yo uso el office 2003
    y hace mas menos 2 semanas office comenzó a informarme sobre archivos macro, cosa que nunca me habia pasado en los 3 años que uso word, en un dia me informo 4 veces sobre macros, y todos de archivos “Word” enviados por parte de compañeros de carrera, quizá ya se encuentren varias pc’s infectadas debido a la falta de información sobre el tema, por eso se usan estrategias antiguas, aparte, el aviso que me salia era mas menos este: “Este documento word está portando “Macros”, esto puede ocacionar vulneravilidad. Desea continuar usando “Macros”.

Síguenos