Informe sobre: W97M/Ethan.A.

W97M/Ethan.A

Nombre:	W97M/Ethan.A
Alias:	Ethana, Ethan.A, W97M_Ethan
Categorías del virus:	Macro de Word
¿Reparable?:	Si
Fecha de aparición:	21/01/1999
Nivel de Riesgo (0-5):	3
Nivel de Distribución (0-5):	4
Nivel de Daños (0-5):	2

Descripción breve:

Se trata de un virus de macro perteneciente a la familia W97M que infecta documentos de Microsoft Word 97 y la plantilla NORMAL.DOT, que éste utiliza. Mediante la infección, W97M/Ethan.A desactiva las protecciones antivirus que Word tiene preparadas respecto a las posibles macros definidas en los documentos.

Para realizar la infección, el virus copia un fichero en la raíz del disco duro (ETHAN.___), gracias al cual reconoce si la infección ya he tenido lugar, o no. Si éste tiene lugar, , los principales objetivos de W97M/Ethan.A serán los documentos de Word y la plantilla NORMAL.DOT. Con respecto a la infección de los documentos utilizados, en determinadas ocasiones, el virus realiza modificaciones en las propiedades de cada uno de ellos. Debido a la infección de la plantilla, se podrán producir cambios en la forma de actuar de Microsoft Word. Por ejemplo, no será imposible el acceso a las opciones referentes a las macros, y tampoco se presentará al cuadro de diálogo de activación o desactivación de éstas cuando se abra un documento que las contiene. Los documentos que se infectarán serán todos aquellos a los que se acceda (apertura, cierre, lectura, escritura,...etc.).

          Las infecciones se pueden llevar a cabo mediante la plantilla NORMAL.DOT ya infectada o mediante un fichero igualmente infectado. Aunque los efectos que produce W97M/Ethan.A no son destructivos, desactiva la protección antivirus en las macros de documentos Word, lo cual propicia la entrada de nuevos virus y la propagación de Ethan.A.


Modo de propagación:

          Como medio de propagación, W97M/Ethan.A no emplea ninguno concreto, pudiendo hacerlo de cualquiera de las formas posibles conocidas. Al realizar infecciones en documentos de Microsoft Word y en la propia plantilla NORMAL.DOT, el virus se incluye dentro de cada uno de ellos haciendo posible la propagación al transportar cada uno de estos documentos o la misma plantilla.

En este sentido cuando cualquiera de los documentos infectados o la propia plantilla lleguen a otro ordenador que se encuentre limpio, se producirá la infección. Por ello habrá que tener cuidado con cualquiera de los posibles medios de propagación utilizados habitualmente por los virus: unidades de disco (disquetes, CD-ROM, otro tipo de unidades), redes de ordenadores, recepción de ficheros DOC adjuntos o incluidos en mensajes de correo electrónico, downloads realizados desde páginas Web,...etc.

Síntomas de infección:

Aunque no se considera como uno de los payloads que W97M/Ethan.A lleva a cabo, éste comienza su infección copiando un fichero denominado ETHAN.___ en el directorio raíz del disco duro (C:\). Esto puede ser significativo ya que dicho fichero no debería existir.

Como payload que se puede observar accediendo a la ficha Resumen del menú Archivo - Propiedades de Microsoft Word 97, el virus tiene la capacidad de alterar la ficha de propiedades del documento infectado. Esta acción no la llevará a cabo no tiene porque producirse en la primera infección realizada, ni tan siquiera en todas las ocasiones, sino simplemente en el 33 % de ellas. El virus altera ciertos campos existentes en esta ficha, del siguiente modo:

          - Título: "Ethan Frome" (Se trata del título de un libro escrito por Edith Wharton en el
            año 1911, el cual fue llevado al cine en 1.993 mediante una película protagonizada por
            Liam Neeson como "Ethan Frome").
          - Autor: "EW/LN/CB"
          - Palabras Clave: "Ethan"

          Además, el virus desactiva los accesos a las opciones que permiten trabajar con macros dentro del documento (Herramientas - Macro) e impide la presentación del cuadro de diálogo que permite activar o desactivar las macros de un documento, el cual aparece cuando se abre un documento que contiene macros.


Métodos de infección:

          Cuando W97M/Ethan.A llega a un ordenador, su primera labor es la de analizar la situación para comprobar si éste ya se encuentra infectado o no. Para ello buscar el ficheros ETHAN.___ en el directorio raíz del disco duro. Si éste ya se encontraba allí, significaría que el virus ya realizó su infección en otro momento, en caso contrario, W97M/Ethan.A realizará la infección.

El primer paso para realizar infecciones en los ficheros DOC, así como en la plantilla global NORMAL.DOT, es la creación o copia del fichero ETHAN.___ en el directorio raíz del disco duro (C:\). Para que no sea apreciable, el fichero contendrá el atributo de oculto, pero tras la desinfección del virus, podrá eliminarse. Después de asegurarse de la existencia del fichero ETHAN.___ en C:\, el virus procederá al análisis de la plantilla y de cualquiera de los documentos de Word que se utilicen, para saber si ya se encuentran infectados o no.

En caso de que la plantilla o cualquiera de los documentos Word a los que se acceda no se encuentren infectados, W97M/Ethan.A procede a infectarlos utilizando para ello el código que se encuentra insertado en el documento que previamente dejó en el directorio raíz del disco duro.

El virus está compuesto por una única macro, a modo de módulo, escrito en Visual Basic, denominado ThisDocument, que apenas contiene 50 líneas de código. Esta se introduce de forma oculta dentro de la plantilla o documento que se pretende infectar. La macro entra en funcionamiento cuando el documento infectado se cierra.

Como característica propia de W97M/Ethan.A, destaca la posibilidad que el virus tiene para eliminar ficheros que han creado otros virus. Más concretamente, si el ordenador estuviese infectado por alguna de las variantes de W97M/Class, eliminará el fichero que éste utiliza, denominado CLASS.SYS, que se encontraría en el directorio raíz del disco duro.