VIRUS REMAILER
Hemos explicado que los virus en archivos anexados (adjuntos, attached) no son una técnica de programación, es una nueva modalidad de propagación a través de Internet, por medio de los software de Correo Electrónico, la cual consiste en enviar mensajes de correo con un archivo anexado o adjunto, el mismo que al ser abierto ejecuta el virus con consecuencias de daño a los sistemas de los usuarios, que por motivos de curiosidad cometan el error de abrir estos archivos.

La modalidad de Remailers es empleada bajo dos técnicas:

1. AUTO ENVIO DE MENSAJES EN MS Outlook o MS Exchange

Tanto MS Outlook o MS Exchange, emplean la interfaz de las librerías MAPI (Messaging Application Programming Interface), que es un sub-sistema de Mensajería compuesto por un conjunto de funciones C estándar, definidas en código DLL (Dynamic Link Library). Estas funciones fueron originalmente creadas por Microsoft para Microsoft Mail, pero han recibido agregados y mejoras por parte de terceros. Las librerías son de 16 y 32 bits:

MAPI.DLL para Windows 3.x, Windows for Groups (16 bits)

MAPI32DLL para Windows 95/98/Millennium/NT/2000 (32 bits)

Las librerías MAPI están disponibles para los desarrolladores de la mayoría de lenguajes Visual. De allí proviene su facilidad para la creación de virus que afectan o toman control de estas librerías para el re-envío de mensajes.

Al tomar control de cualquiera de las funciones de la interfaz MAPI, una aplicación de Windows se convierte en el estado de "mail-enabled" (habilitado para correo). Esta librería está también disponible para los desarrolladores de Visual Basic, por medio de una capacidad de traducción básica de Basic a C. Debido a ello muchos Visual Basic Scripts fácilmente pueden emplear los recursos de estas funciones.

La funciones MAPI básicas son:

MAPIAddress
MAPIDeleteMail
MAPIDetails
MAPIFindNext
MAPIFreeBuffer
MAPILogon
MAPILogoff
MAPIReadMail
MAPIResolveName
MAPISaveMail
MAPISendDocuments
MAPISendMail
2. AUTO ENVIO DE MENSAJES EN CUALQUIER OTRO SOFTWARE DE CORREO DE INTERNET

Para que los virus contenidos en archivos anexados se difundan con mayores posibilidades, también pueden infectar la librería WSOCK32.DLL, que intercepta las funciones de MS Windows que establecen las conexiones de red, incluyendo las funciones de Internet. Las especies virales de que usan esta librería tienen mayor capacidad de causar estragos.

El WSOCK32.DLL es el conjunto de librerías estándar que proporcionan una poderosa Interfaz de Programación de Aplicaciones (API) para crear programas bajo el protocolo TCP/IP (Transmission Control Protocol/Internet Protocol) para conexiones a Internet o dentro de una red local.

Los virus en archivos anexados que infectan la librería WSOCK32.DLL pueden afectar a cualquiera de los servicios de Internet, tales como Correo Electrónico, (Email), FTP (File Transfer Protocol), servidores web, etc., o en las estaciones y el servidor de una red local.

Los virus que hacen uso de las funciones de estos dos tipos de librerías, contienen instrucciones de auto-envío a la Libreta de Direcciones del software de correo del usuario, logrando que su propagación tenga un efecto multiplicador.

Es muy recomendable que cuando se reciba un mensaje con un archivo anexado, de origen desconocido se evite abrir el archivo y se proceda a eliminarlo, así como también el mensaje de origen. También se deben borrar todos los archivos en la carpeta Windows/Temp.

MACRO VIRUS
Los macro virus son una nueva familia de virus que infectan documentos y hojas de cálculo. Fueron reportados a partir de Julio de 1995, cambiando el concepto de que los virus tan sólo podían infectar o propagarse a través de archivos ejecutables.

Hoy en día basta con abrir un documento o una hoja de cálculo infectados para que un sistema limpio de virus sea también infectado.

Los macro virus tiene 3 características básicas:

1) Infectan documentos de MS-Word o Ami Pro, hojas de cálculo de MS-Excel y archivos de bases de datos en MS-Access

2) Poseen la capacidad de infectar y auto-copiarse en un mismo sistema, a otros sistemas o en unidades de red a las cuales estén conectadas.

A pesar de que los macro virus son escritos en los lenguajes macro de MS-Word o MS-Excel y por consiguiente deberían infectar únicamente a documentos y hojas de cálculo, es posible desarrollar macro virus que ejecuten llamadas al sistema operativo, dando órdenes de borrar archivos o hasta de reformatear al disco duro.

Tal es el caso del macro virus MDMA que borra archivos específicos de Windows 95/98, haciendo uso de la macro AutoClose, o el FORMAT.C que dentro de la macro AutoOpen ordena formatear al disco duro.

Uno de los síntomas que acusan la presencia de un macro virus, en el caso de MS-Word, es la aparición de extrañas macros: AAAZAO, AAAZFS, AutoOpen, PayLoad, SaveFileAs, etc. instaladas en la plantilla global del archivo Normal.dot. Al abrir o usar un documento infectado, estas macros se enlazarán automáticamente a todos los documentos que se abran a partir de ese momento.

Otra característica de los macro virus es que sus acciones están destinadas exclusivamente a un tipo de documento, hoja de cálculo o archivo de base de datos, creados en MS-Word, Ami Pro, MS-Excel y MS-Access. Un documento creado en otro procesador de texto, como Word Perfect o Ami Pro, no será contagiado al leer o cargar un documento infectado de MS-Word, debido a que éstos no pueden ejecutar las macros que son propias de MS-Word.

Lo mismo sucederá al cargar o leer un documento infectado de MS-Excel en MS-Word. Este último no puede ejecutar las macros del primero y por lo tanto el documento no será contagiado.

Los macro virus mas comunes son:

Concept Fujimori
Wazzu
Laroux

FormatC Irish
Npad
Colors

Infezione Cap
DMV


Trataremos solamente los cuatro (4) primeros.

Cada vez aparecen y se propagan una mayor cantidad de macro virus que los virus de archivos ejecutables y esto se debe a dos simples razones:

1. Los macro virus a pesar de tener acciones muy sofisticadas en sus procesos de infección, son sumamente fáciles de crear o modificar, pues tan sólo es necesario tener nociones de programación en lenguaje macro.

2. Ahora todos los usuarios intercambian más documentos que archivos ejecutables, ya sea a través de diskettes, correo electrónico u otro medio, lo cual alienta a los desarrolladores de virus.

A principios de 1998 se reportó la primera nueva especie de macro virus que infecta las bases de datos (MDB) de MS-Access.