El virus, de bajo riesgo, infecta la plantilla normal de Microsoft Word. Al ejecutarse, el código de este virus emplea el macro Auto_Open, al que Microsoft Word invoca siempre que un archivo infectado es abierto.
Este virus de macro deshabilita las siguientes acciones de Microsoft Word:
-ConfirmConversions
-VirusProtection
-SaveNormalPrompt
En sistemas infectados, automáticamente se convierten los documentos Microsoft Word de la versión más antigua a las últimas versiones, siempre que sea aplicable, y las actualizaciones de plantillas normales de Microsoft Word (NORMAL.DOT). En Microsoft Word 2000 o 2002, se añaden registros a las entradas que colocan al Sistema de Seguridad en el nivel “bajo” permitiendo a los macros ejecutarse automáticamente, sin la ayuda del usuario. El virus también permite a macros WordBasic ejecutarse de manera automática.
Sobre la primera ejecución de un archivo infectado, el virus copia su código a la plantilla normal: NORMAL.DOT. Esto le permite infectar automáticamente documentos abiertos en subsecuentes inicios de Microsoft Word.
Este virus crea la carpeta CokeBoy en el directorio de Windows y deposita un archivo Visual Basic Script (VBS) con un nombre compuesto de ocho dígitos al azar. Este archivo script es responsable de la rutina de correo masivo del virus. También utiliza Microsoft Outlook para mandar copias de él mismo a todas las direcciones de correo electrónico en la libreta de direcciones del sistema infectado. Llega en un correo electrónico como se muestra a continuación:
Asunto :
Cuerpo del mensaje: A confidential document is for you.. only for u!
Archivo anexo:
El archivo VBS adhiere un registro de entrada por lo que se ejecuta cada que se inicia Windows.
Cuando la fecha del sistema está en el 29 de cualquier mes, este virus de macros despliega una caja de mensaje que contiene la siguiente secuencia de texto:
This Document is infected by CokeBoy Worm.
Siempre que el usuario del sistema infectado selecciona Help>About Microsoft Word en la barra del Menú, el Asistente de Microsoft Office aparece con el siguiente mensaje y un botón OK:
W97M.Coke2002 by CokeBoy (c)2002
Cuando el usuario hace click en OK, el virus sobrescribe el documento activo con el siguiente secuencias de texto:
I´m Coke, a bottled drink!! I´m not dangerous.
You are being hit by the evil Coke worm!
CokeBoy newest drink worm.. you gotta see it!
CokeBoy newest drink worm.. you gotta believe it!
CokeBoy newest drink worm.. you gotta taste!
CokeBoy newest drink worm.. you gotta get it!
CokeBoy newest drink worm.. you gotta buy it!
CokeBoy newest drink worm.. you gotta try it!
CokeBoy newest drink worm.. you gotta drink it!
CokeBoy newest drink worm.. you gotta love it!
Si usted quisiera detectar en su computadora W97M_BEKO.A o cualquiera de los miles de gusanos, virus, troyanos o códigos maliciosos que existen, visite el antivirus gratuito de Trend Micro en línea, HouseCall.
El virus de macros W97M_BEKO.A es detectado y eliminado por los antivirus de Trend Micro con el patrón de virus #408 o superior.
