Real e Ilustre Colegio de Abogados de Zaragoza
 
X97M/Adn.A
 
 
  
Nombre: X97M/Adn.A
Alias:  
Categorías del virus: Macro de Excel
¿Reparable?: Si
Fecha de aparición: 22/08/2000
Nivel de Riesgo (0-5): -
Nivel de Distribución (0-5): -
Nivel de Daños (0-5): -
  
  
Descripción breve: 

          Este virus de macro de Excel, que entra en acción cuando la fecha del sistema coincide con un número generado de modo aleatorio. Cuando esta condición tiene lugar, el virus sustituye el texto de la barra de título de Excel, y cambia el tamaño de los botones de la barra de herramientas de dicha aplicación. 
  
  
Modo de propagación: 
  
          El medio que utiliza para extenderse a otros ordenadores puede ser cualquiera de los habitualmente empleados por los virus: disquetes, CD-ROM, trabajo con ficheros en redes de ordenadores, Internet, envío o recepción de mensajes de correo electrónico en los que se adjunta/n o incluye/n hojas de cálculo ya infectadas,... etc. 
  
 
Síntomas de infección: 

          Su payload se activa si el día correspondiente a la fecha actual del sistema coincide con un numero generado de manera aleatoria. En ese caso, el virus sustituye el texto de la barra de título de Excel, por el siguiente: Spalaci.Label.Is.Pac.

          Por otra parte, el virus se encarga de cambiar el tamaño de los botones de la barra de herramientas de Excel. En concreto el tamaño de estos botones será mayor al habitual como se puede observar en la siguiente imagen:
 

  
  
Métodos de infección: 
  
          Este virus se compone de las siguientes dos macros: auto_open() y ClassModulo(). La primera de estas macros permite al virus activarse cada vez que se abra una hoja de cálculo infectada. El virus utiliza esta macro para activar la segunda con el fin de proceder a la infección. 

          La macro ClassModulo() contiene código que le permite propagarse a otros libros de Excel. Mientras se ejecuta esta macro, el virus toma ciertas medidas para que los usuarios no sean conscientes del proceso de infección. En concreto, este virus desactiva la actualización de la pantalla y los mensajes de alerta que incorpora Excel con relación a las hojas de cálculo que contienen macros.  

          A continuación, el virus comprueba si la plantilla de Excel PERSONAL.XLS se encuentra infectada. Si esta plantilla no se encuentra infectada, el virus procede a infectarla. Una vez realizada esta acción, X97M/Adn.A comprueba si los libros de Excel abiertos en el sistema se encuentran infectados. Si estos no estuvieran infectados, el virus procederá a infectarlos. Para hacer esta comprobación, el virus comprueba el nombre del módulo VB que contienen las macros del libro en cuestión. 

          Finalmente, X97M/Adn.A genera un número aleatorio del 1 al 31, para activar su paylaod en el caso de que el valor resultante coincida con la fecha actual del sistema. Como comentamos anteriormente, el payload de este virus consiste en sustituir el texto de la barra de título de Excel, así como en cambiar el tamaño de los botones de la barra de herramientas de Excel. 

          Cabe destacar que el virus contiene el siguiente texto al principio de su código que no se muestra en pantalla: 
  
                   "Spalaci Label is Pac
                    ADN Virus - (C) Copyright 1999/2000"