Al igual que como informan los amigos de Hispasec, hoy nosotros también hemos recibido un archivo de Microsoft Word con una macro que permite copiar un archivo ejecutable whlp32.exe al sistema y ejecutarlo.

Si bien este es un caso aislado y Office bloquea este tipo de macros, puede indicar que los creadores de malware están buscando otras alternativas de infección y han vuelto a poner sus ojos en los documentos de ofimática, como hace más de 10 años.

Esta macro también baja el nivel de seguridad configurado por defecto en Microsoft Word (Alto), lo que podría permitir a otros programas similares ejecutarse posteriormente sin autorización del usuario. A continuación vemos parte del código de la macro y la función que realiza esta acción particular:

En el caso de ESET NOD32, el archivo dañino es detectado como W97M/TrojanDropper.Fordo.B, donde justamente el prefijo W97M indica que se trata de un virus de Office 97 o superior.

Más vale estar prevenido confirmando que el nivel de seguridad para la ejecución de macros se encuentre en Alto ya que, al parecer, a los creadores de malware no les interesa la historia y cuan vieja sea la técnica utilizada para infectarnos.

Cristian