• Quienes somos
  • Nuestra Historia
  • Contactar
  • Políticas de Privacidad
  • Políticas IA
  • FUNDACIÓN
Informativos.Net
Medio online independiente desde 1999
Informativos.Net
  • Inicio
  • Life Style Magazine
  • Editorial
  • Secciones
    • Actualidad
    • Cultura
    • Entrevistas
    • Fake News
    • Gastronomia-Vinos
    • LifeStyle & Destinos
    • Medio Ambiente y Renovables
    • Seguridad, Autoprotección y emergencias
    • Salud
  • Archivo
    • Otros Paises
    • Panorama Mundial
    • Música
    • Noticias Curiosas
    • Cine
    • Empresas
    • Motor
    • Opinión del Lector
    • Chile
    • Catalunya
    • Publi-Reportajes
    • Tecnología
    • Vela
  • Políticas IA
  • Autores
    • Gema Castellano
    • Jose Escribano
    • Abel Marín
    • Christian Correa
    • Gustavo Egusquiza
    • Jesús Belenguer
    • Jose Anastasio Urra Urbieta
    • Pablo Arce
  • Sobre Gema Castellano
Tecnología

LOS GUIDS Y LOS METADATA EN LOS DOCUMENTOS MICROSOFT OFFICE (y II)

escrito por Jose Escribano 3 de septiembre de 1999
0FacebookTwitterPinterestLinkedinRedditWhatsappTelegramThreadsBlueskyEmail
279

Tal y como se explica en el boletín anterior, todos los documentos creados con alguno de los paquetes «Office» (Microsoft Word, Excel, PowerPoint) incluyen tanto un GUID como información histórica sobre todas las modificaciones realizadas sobre dicho fichero. Estos datos permiten inferir muchos datos de interés.

Esta información saltó a primera plana con el virus MELISSA. Dicho virus se distribuye como un documento Microsoft Word con macros, y la existencia de esta información fue decisiva a la hora de determinar la autoría y el «proceso creativo» que dió lugar al virus.
A continuación se incluye la traducción de un email enviado por «Richard M. Smith» al grupo de news «comp.risks», el 23 de Abril de 1.999. Al final de este boletín se incluye la URL al documento original.

>>>>>

Date: Fri, 23 Apr 1999 18:12:15 -0500
From: «Richard M. Smith»
Subject: Melissa, GUIDs, and VicodinES

He visto la discusión en comp.risks sobre el virus Melissa y los GUIDs, y quiero distribuir alguna de la informaci¢n que Rishi Khan (rishi@udel.com) y yo mismo (smiths@tiac.net) descubrimos a lo largo de la semana posterior a la difusi¢n del virus.

Sobre el tema del GUID, se ha podido comprobar que el documento Melissa tiene el mismo GUID que un documento Word con otro virus de macro, llamado «Shiver«. Shiver fue creado en Agosto de 1.998 por alguien que usaba el alias de «ALT-F11«. Dado que los dos GUIDs son el mismo,Rishi y yo hemos llegado a la conclusi¢n de que Melissa fue creado copiando el documento Shiver y reemplazando el c¢digo de dicho virus por el c¢digo de Melissa. Esto fue confirmado por el hecho de que la lista de p ginas web en los dos documentos es id’ntica, y que los «logs» de revisiones de ambos documentos son iguales excepto que en el documento Melissa aparece una entrada adicional.

Dado que la oltima modificaci¢n al documento Melissa fue s¢lo 30 minutos antes de que el virus fuera enviado al Web, parece que el virus fue desarrollado en otro documento, y que luego se combin¢ con la lista de p ginas web de Shiver en el oltimo minuto.

El GUID en el documento Melissa, muy probablemente, la direcci¢n Ethernet de la tarjeta de red del ordenador de ALT-F11, o de un ordenador al que ‘ste (o ‘sta) tuvo acceso en Agosto de 1.998.

¨Cu l es la conexi¢n entre David L. Smith, la persona acusada de haber distribuido el virus Melissa y VicodinES?. Por lo que parece hay muchas conexiones, porque tanto David Smith como VicodinES tienen bastante material en el web y han enviado numerosos mensajes a varios grupos de news.
Una de las conexiones m s interesantes se encontr¢ en la propia p gina web de VicodinES. Fredrik Bjork, de Suecia, me remiti¢ a dicha p gina unos d¡as despu’s de que el virus Melissa empezase a propagarse. Fredrik hab¡a notado muchas similitudes entre el estilo de VicodinES y el autor de Melissa. Pude descargar sobre diez documentos Word, de la p gina web de VicodinES, que conten¡an varios virus de macro. En dos o tres de dichos ficheros encontr’ el nombre de «David L. Smith» y sus iniciales DLS. En particular, s¢lo ese nombre aparece varias veces en el log de revisiones (por defecto, oculto) en uno de los virus de VicodinES.

A continuaci¢n se muestra el volcado hexadecimal de un fichero Word de Julio de 1.998:

 12F0:FF FF 12 00 00 00 0D 00  44 00 61 00 76 00 69 00   ........|D.a.v.i.
1300:64 00 20 00 4C 00 20 00 53 00 6D 00 69 00 74 00 d. .L. .|S.m.i.t.
1310:68 00 23 00 43 00 3A 00 5C 00 57 00 49 00 4E 00 h.#.C.:.|.W.I.N.
1320:44 00 4F 00 57 00 53 00 5C 00 44 00 65 00 73 00 D.O.W.S.|.D.e.s.
1330:6B 00 74 00 6F 00 70 00 5C 00 43 00 6F 00 6E 00 k.t.o.p.|.C.o.n.
1340:76 00 65 00 72 00 74 00 20 00 42 00 65 00 74 00 v.e.r.t.| .B.e.t.
1350:61 00 2E 00 64 00 6F 00 63 00 0D 00 44 00 61 00 a...d.o.|c...D.a.
1360:76 00 69 00 64 00 20 00 4C 00 20 00 53 00 6D 00 v.i.d. .|L. .S.m.
1370:69 00 74 00 68 00 35 00 43 00 3A 00 5C 00 57 00 i.t.h.5.|C.:..W.
1380:49 00 4E 00 44 00 4F 00 57 00 53 00 5C 00 54 00 I.N.D.O.|W.S..T.
1390:45 00 4D 00 50 00 5C 00 41 00 75 00 74 00 6F 00 E.M.P..|A.u.t.o.
13A0:52 00 65 00 63 00 6F 00 76 00 65 00 72 00 79 00 R.e.c.o.|v.e.r.y.
13B0:20 00 73 00 61 00 76 00 65 00 20 00 6F 00 66 00 .s.a.v.|e. .o.f.
13C0:20 00 43 00 6F 00 6E 00 76 00 65 00 72 00 74 00 .C.o.n.|v.e.r.t.
13D0:20 00 42 00 65 00 74 00 61 00 2E 00 61 00 73 00 .B.e.t.|a...a.s.
13E0:64 00 0D 00 44 00 61 00 76 00 69 00 64 00 20 00 d...D.a.|v.i.d. .
13F0:4C 00 20 00 53 00 6D 00 69 00 74 00 68 00 35 00 L. .S.m.|i.t.h.5.
1400:43 00 3A 00 5C 00 57 00 49 00 4E 00 44 00 4F 00 C.:..W.|I.N.D.O.
1410:57 00 53 00 5C 00 54 00 45 00 4D 00 50 00 5C 00 W.S..T.|E.M.P..
1420:41 00 75 00 74 00 6F 00 52 00 65 00 63 00 6F 00 A.u.t.o.|R.e.c.o.
1430:76 00 65 00 72 00 79 00 20 00 73 00 61 00 76 00 v.e.r.y.| .s.a.v.
1440:65 00 20 00 6F 00 66 00 20 00 43 00 6F 00 6E 00 e. .o.f.| .C.o.n.
1B90:00 1E 00 56 00 69 00 63 00 6F 00 64 00 69 00 6E ...V.i.c|.o.d.i.n
1BA0:00 45 00 53 00 20 00 56 00 42 00 41 00 20 00 53 .E.S. .V|.B.A. .S
1BB0:00 74 00 72 00 69 00 6E 00 67 00 20 00 43 00 6F .t.r.i.n|.g. .C.o
1BC0:00 6E 00 76 00 65 00 72 00 74 00 65 00 72 00 00 .n.v.e.r|.t.e.r..
1BD0:00 00 00 00 00 00 00 0D 00 44 00 61 00 76 00 69 ........|.D.a.v.i
1BE0:00 64 00 20 00 4C 00 20 00 53 00 6D 00 69 00 74 .d. .L. |.S.m.i.t
1BF0:00 68 00 00 00 00 00 00 00 00 00 00 00 00 00 00 .h......|........

El log de revisiones de un documento Word es algo que Microsoft llama «Metadada» y no puede visualizarse con el propio Word. Yo lo encontr’ utilizando una utilidad de volcado hexadecimal. Microsoft tiene un art¡culo que habla de los problemas de filtrar informaci¢n a trav’s del «Metadata» de un documento Word:

http://support.microsoft.com/support/kb/articles/Q223/7/90.asp

Parece que la mayor¡a de los escritores de virus que crean virus de macro para Word no han le¡do ese art¡culo de Microsoft :-). He visto los nombres de mucha m s gente en otras herramientas de construcci¢n de virus de macro que son distribuidas como documentos Word.

Richard M. Smith

M s Informaci¢n:

Risks Digest: http://catless.ncl.ac.uk/Risks/20.33.html

Autor :
Jesos Cea Avi¢n
http://www.argo.es/ jcea/

Autor

  • JAE
    Jose Escribano

    Responsable de Contenidos en Informativos.Net

    Ver todas las entradas
anterior
TELEFÓNICA Y LA ASOCIACIÓN DE INTERNAUTAS ESPAÑOLA : CITA EN LOS JUZGADOS
siguiente
EL ESPAÑOL SER- OBLIGATORIO EN LOS COLEGIOS BRASILEíOS

También te puede interesar

DragonForce, el cártel de ransomware que está rediseñando...

8 de mayo de 2025

La decadencia digital: cuando internet pierde la memoria

18 de febrero de 2025

Microsoft lanza Copilot en WhatsApp para asistencia con...

2 de octubre de 2024

Los 15 trabajos más expuestos a la automatización...

24 de marzo de 2024

LAS PANTALLAS DE LOS COCHES VAN A DESAPARECER

21 de enero de 2023

Entrevista a Esther Paniagua: «Error 404» es una...

22 de octubre de 2021

Visión artificial para contar aglomeraciones de personas

27 de febrero de 2018

YONDER: la app de karaoke para que muestres...

25 de marzo de 2017

Abierto el plazo de solicitudes participar en el...

29 de agosto de 2016

COLABORA CON NUESTRA FUNDACIÓN

https://t.me/informativosnet

Nos cuidan…


  • Facebook
  • Twitter
  • Instagram
  • Linkedin
  • Youtube
  • Email
  • Spotify
  • Whatsapp
  • Telegram
  • Rss

© 1999-2025 • Fundación Informativos.Net


Ir arriba
Informativos.Net
  • Inicio
  • Life Style Magazine
  • Editorial
  • Secciones
    • Actualidad
    • Cultura
    • Entrevistas
    • Fake News
    • Gastronomia-Vinos
    • LifeStyle & Destinos
    • Medio Ambiente y Renovables
    • Seguridad, Autoprotección y emergencias
    • Salud
  • Archivo
    • Otros Paises
    • Panorama Mundial
    • Música
    • Noticias Curiosas
    • Cine
    • Empresas
    • Motor
    • Opinión del Lector
    • Chile
    • Catalunya
    • Publi-Reportajes
    • Tecnología
    • Vela
  • Políticas IA
  • Autores
    • Gema Castellano
    • Jose Escribano
    • Abel Marín
    • Christian Correa
    • Gustavo Egusquiza
    • Jesús Belenguer
    • Jose Anastasio Urra Urbieta
    • Pablo Arce
  • Sobre Gema Castellano