Virus Macros

Efectos
Una vez que se infecta un documento u hoja de cálculo, los macro virus son capaces de adueñarse de las funciones estándar de la aplicación, controlando así la posibilidad de, por ejemplo, evitar que el usuario guarde la información que ha estado escribiendo por minutos (u horas) para que pierda todo su esfuerzo en cuestión de segundos.

En el caso de Word, los macro virus se instalan en la plantilla Normal.dot, que es la que uno utiliza (involuntariamente) para crear documentos nuevos, así que cada vez que abramos un archivo o lo guardemos, estaremos infectando esos documentos, guardándose adicionalmente el virus para futuras sesiones. En Excel ocurre algo similar con el archivo Personal.xls.

Se han detectado macro virus capaces de «soltar» virus normales, pero hasta ahora éstos han tenido muchos problemas, siendo ineficientes en esta tarea.

En muchos casos, un virus escrito para una versión específica de la aplicación sólo afectará esa versión, pero de igual forma el documento estará infectado, así que siendo portador, una vez que sea abierto por una versión de la aplicación de ese lenguaje específico se activará el virus.

¿Cómo resolver el problema?

Estos macro virus están definitivamente de moda, hasta ahora se conocen más de 760 (incluyendo variantes) y cada día que pasa se consiguen más, su crecimiento exponencial nos obliga a pensar que es muy probable que nos topemos con uno de estos desgraciados cibernéticos muy pronto: tanto en el trabajo, como en la red, como en la universidad existe esa posibilidad.

Hoy en día muchos antivirus son capaces de detectar y remover los macro virus más comunes, pero dada la velocidad con que salen nuevas variantes, lo mejor (y más flexible) es tener actualizada la base de datos de su programa antivirus favorito, si es posible la de ayer. También se puede probar con la «vacuna» de Microsoft que se puede bajar desde su página en http://www.microsoft.com. Encuentros cercanos del tercer tipo

He tenido la (mala) suerte de ser víctima de un macro virus hecho en Venezuela (Cap.A) y de ver en acción a otro muy famoso, el Wazzu.

Estos macro virus se transmiten con sólo abrir un documento de Word infectado, una vez abierto éste «copia» el código infeccioso en la plantilla Normal.dot y a su vez empieza a «contaminar» a todos los archivos Word que abramos desde ese momento, ya sea en disquete o en el disco duro.

Se sabe que el Cap.A apareció en el mes de febrero y se ha expandido a todas las corporaciones a nivel mundial, es de origen local (Maracay, Venezuela), elimina del menú de herramientas la opción Macros, da error de insuficiencia de memoria al abrir documentos y aparentemente, cada cierto tiempo muestra el siguiente mensaje (aunque nunca lo vi):

«C.A.P. Un virus social... y ahora digital... j4cky Qw3rty (jqw3rty@hotmail. com) Venezuela, Maracay, Dic. 1996 P.D. ¿Qué haces, gochito? Nunca serás Simón Bolívar... Bol...!».

La opción que tomé fue, vía Internet, bajar la versión más reciente de F-Macro (antivirus actualizado casi a diario con una versión para Windows llamada F-MacroW, pero la interfaz no es muy flexible) y desde el DOS usé la opción:


F-Macro C: /disinf /remnants

Esta opción elimina al virus y cualquier rastro que deje, eliminando inclusive a todos los macros que contenía el documento, una opción drástica, pero efectiva. Además de hacerlo con el disco duro, también se lo apliqué a todos los disquetes que había usado en las últimas dos semanas.
En el caso del Wazzu, éste, que tiene muchas variantes, es capaz de colocar aleatoriamente en el documento la palabra Wazzu además de que tiene la capacidad de cambiar palabras de sitio, ¡haciendo perder horas de trabajo en un documento en sólo segundos!