Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Articulo: Sintomas que indican posibles virus macros

0 views
Skip to first unread message

Pilar Mueckay [ec]

unread,
Mar 9, 1999, 3:00:00 AM3/9/99
to
En vista de las muchas preguntas en el foro y a mi email, voy a sintetizar
lós síntomas que podemos tener en Office97 y que PUEDEN indicar la presencia
de un virus macro.

He meditado mucho sobre este artículo pues no quisiera que provoque una
estampida hipocondríaca :-), que si Office simplemente no va, pues enseguida
pensemos en un virus. Sin embargo, creo que tomaremos como lo que es: una
guía para descartar o no si la causa de nuestro problema se debe a un virus
macro.

He recopilado datos de la base de Antiviral Tool Kit Pro y DataFellows, y de
mi experiencia en estos años "Officiando" en los que me he topado con estos
bichos, por no llamarles de otra manera más fea...

-------
Las macros, como todos sabemos, están escritos en lenguaje VBA, y sirven
para automatizar actividades en cada aplicación de Off97. Pues no faltó
quien empezara a usar el código VBA para escribir subrutinas con órdenes
maliciosas y dañinas: teniendo así los virus macros. Se alojan en los
archivos de cada aplicación de Office y en las plantillas. Son considerados
como los virus parásitos, pues se expanden a través de los archivos de
programas, aunque no directamente a través de los EXE.

QUÉ HACER ANTES DE ESTAR INFECTADOS:---------------
1) No abrir a ciegas ningún archivo de Office que nos venga como adjunto en
un msj de e-mail o de noticias. Ni aunque les juren que no tiene nada.
Pásenle un antivirus y aún así crucen los dedos.

2) Mantener activado en cada aplicación de Office la protección de macros
(Herramientas | Opciones)

3) Adquirir un excelente antivirus y mantenerse siempre al día vía internet
con las actualizaciones de la lista de virus (quincenalmente no estaría
mal); y activarlo cuando estemos ante un archivo de Office no hecho por
nosotros o del que sospechemos.

4) Activar la opción "Preguntar si se guarda la plantilla Normal" en Word:
Herramientas | Opciones | Guardar

5) O podemos ponerle una contraseña a nuestro Normal.dot: Abrimos el editor
de VBA, hacemos clic en Normal, en la ventana de Proyectos, se selecciona
del menú Herramientas | Propiedades de Normal... <solapa Protección> activar
la opción "Bloquear proyecto para visualización", tipear la contraseña y
reiniciar Word.

QUÉ HACER SI SOSPECHAMOS QUE ESTAMOS INFECTADOS:--------------
1) Tomarlo con calma (hay quienes primero gritamos una maldición para
desahogarnos :-), pasar nuestro antivirus y preguntar al grupo, dando toda
la información posible, y hasta al soporte técnico de nuestro antivirus.

2) Si sospechamos de un documento que tenga macros y necesitamos abrirlo, lo
abrimos sosteniendo la tecla MAYÜS (Shift) para que no se ejecute ninguna
macro.

3) Si es un archivo DOC podemos grabarlo en formato RTF (que mantiene los
estilos) y TXT (sólo se guarda texto simple y se pierden los estilos). Esto
elimina la información de macros.

4) Si es un virus macros alojado en la plantilla normal.dot, podemos
borrarla. Word automáticamente generará una plantilla normal.dot nueva y
limpia.

5) Si es un virus macro que nos permite acceder al editor de VBA podemos
borrar las macros extrañas.

SÍNTOMAS:----------
1) Si el archivo DOC o XLS no se puede grabar a otro formato;

2) Si los archivos se graban en formato plantilla, o si el ícono para grabar
se ha cambiado al ícono de grabar plantilla;

3) Si archivos extraños de Excel o Word se encuentran en el directorio
"Inicio";

4) Si la opción Herramientas | Macros está deshabilitada, esto es muy común
en Virus Stealth;

5) De una versión a otra algunos virus macros no funcionan bien (por
suerte), por lo que suelen dar el error "WordBasic Err=(Número de error)" y
estamos *seguros* de no estar usando macros.

6) Muchos virus de este tipo cambian las opciones en Herramientas |
Opciones, habilitando o deshabilitando por ejemplo “Protección de antivirus
en macros”, (Virus Protection), “Permitir guardar rápidamente” (Allow Fast
Save), “Preguntar si se guarda la plantilla Normal” (Prompt to save Normal
Template); estos son temibles, pues son los virus "ocultos" no tienen código
visible. Uf!

7) Si nos pide contraseña cuando sabemos con seguridad que no la hemos
puesto;

8) Si aparecen extrañas y nuevas secciones en nuestro Win.ini;

9) Si nos aparecen mensajes y cuadros de diálogos extraños, con preguntas o
afirmaciones extrañas (p.e. "¿Tailandia debería retirar sus tropas de
Timor?") o en un idioma distinto del predeterminado;

10) (Sólo Wd6) Si no podemos grabar en otro directorio o disco cuando usamos
“Guardar como”

11) Si nos aparecen en Access archivos de bases de datos corruptos.
Afortunadamente esto aún es muy raro.

12) Si nos aparecen hojas extras en Excel

13) Si el idioma de la Configuración Regional se ha cambiado sin nuestro
permiso.

14) Si nos sale un msj de "Error interno con unidrv.dll. Contacte con
Soporte de Microsoft".

15) Si al abrir un DOC nos aparece una ventana con el número "1".

16) Si los archivos de Ayuda desaparecen

17) Si un archivo nuevo DOC se guarda sin preguntar si se quiere guardar o
no

18) Todos los documentos se ponen en 0 bytes y se pierde la información
(éste me trae malos recuerdos)

19) Si al grabar pone automáticamente el nombre "document1.doc"

20) Y etcétera :-)

Sé que se me quedaron algunos en el tintero pero estos son los más comunes.
Por supuesto, no he explicado cómo trabajan y exactamente qué infectan, pero
eso es otro cantar (léase: otro artíiculo).

--
Saludos,
Pilar Mueckay

PepeMoon

unread,
Mar 10, 1999, 3:00:00 AM3/10/99
to
Muy interesante y completa tu colaboración. Muchas Gracias.
PepeMoon
Tequila, Jal. MEXICO
Alegramos la vida... ¡ con Tequila !
Tengo 69 años... y sigo tan campante
Pilar Mueckay [ec] escribió en mensaje
<#GcFSlna#GA....@uppssnewspub05.moswest.msn.net>...

Daniel Sosa

unread,
Mar 10, 1999, 3:00:00 AM3/10/99
to
Muy lindo resúmen, Pilar. Creo que valió la pena tu esfuerzo.

Saludos.

--
Daniel
da...@infovia.com.ar
Icq#=12809783
Neuquén-Argentina
**********************************************

Pilar Mueckay [ec] escribió en mensaje
<#GcFSlna#GA....@uppssnewspub05.moswest.msn.net>...

Jorge BRIOZZO

unread,
Mar 11, 1999, 3:00:00 AM3/11/99
to
Gracias Pilar por la ayuda que brindas a todos.
Atte.
Jorge Briozzo.
Santiago de Chile.

Yuri Gerber [co]

unread,
Mar 12, 1999, 3:00:00 AM3/12/99
to
Hola Pilar:

solo es para que me digas cual es el camino de esta referencia:

"5) O podemos ponerle una contraseña a nuestro Normal.dot: Abrimos el editor
de VBA"

Gracias por la oportunidad,


Yuri Gerber Pabón G.

Visitenos en:

http://www.ne.com.co
http://www.servinet.com.co

Envienos Su Correo a:

ne-di...@usa.net
serv...@usa.net
Pilar Mueckay [ec] <pmue...@usa.net> escribió en el mensaje de noticias
#GcFSlna#GA....@uppssnewspub05.moswest.msn.net...

>en macros, (Virus Protection), Permitir guardar rápidamente (Allow Fast

Pilar Mueckay [ec]

unread,
Mar 12, 1999, 3:00:00 AM3/12/99
to
Yuri:

En las aplicaicones de Office puedes tipear ALT+F11 o también puedes
seleccionar el menú Herramientas | Macros |Editor de Visual Basic, de ambas
formas se abre el editor de VBA

--
Saludos,
Pilar Mueckay

Yuri Gerber [co] <serv...@usa.net> wrote in message
news:#a3C0GKb#GA.261@cppssbbsa03...

0 new messages