CokeBoy infecta documentos de Word97, Word2000 y WordXP. El virus se recibe incluido en un documento adjunto -de nombre variable- a un mensaje de correo electrónico con el asunto «COKEBOY». Por su parte, en el cuerpo del e-mail aparece el texto: «A confidential document is for you.. only for u!».
Cuando se ejecuta el mencionado archivo, y con el fin de pasar desapercibido, CokeBoy desactiva la protección antivirus para los documentos que contienen macros, el cuadro de diálogo de confirmación para la conversión de documentos y el cuadro de confirmación que Word muestra antes de proceder a guardar los cambios en la plantilla global NORMAL.DOT, que es en la que están basados la mayoría de los documentos creados con Word.
Al mismo tiempo, crea en el disco duro un fichero llamado «coke4u.drv» (el cual es detectado por los antivirus de Panda Software como cokeBoy.Src). Este archivo contiene el código del virus que será utilizado para infectar NORMAL.DOT. De esta manera, cada documento de Word que se abra a partir de ese momento será inmediatamente infectado por CokeBoy.
Además, genera, en el directorio de Windows, una carpeta llamada «CokeBoy», que contiene un fichero VBS de nombre aleatorio. Este archivo -detectado por los antivirus de Panda Software como VBS/CokeBoy- se encarga de enviar el virus a través de correo electrónico a todas las entradas de libreta de direcciones de Outlook.
Finalmente, CokeBoy introduce una entrada en el registro de Windows con el fin de asegurar su ejecución cada que se reinicie el equipo. De esa manera, cada vez que el usuario encienda el ordenador, el virus se reenviará.
Los equipos infectados mostrarán, el día 29 de cada mes, una pantalla con el siguiente mensaje: «This document is infected by CokeBoy Worm.COKEBOY». Además, el contenido de la opción «Acerca de Microsoft Word» del menú «?» de la barra de herramientas será modificado para que muestre una pantalla que hace alusión al virus.
Cuando el usuario pulse el botón «Aceptar» para cerrar dicho menú, aparecerá un texto en el documento de Word que se encuentre activo en ese momento.
Pese a que los servicios de Soporte Técnico de Panda Software no han registrado ninguna incidencia por parte de este virus, la multinacional española aconseja no bajar la guardia y extremar las precauciones con cualquier mensaje de correo electrónico recibido.
En cualquier caso, Panda Software ya ha puesto a disposición de los usuarios la correspondiente actualización de sus antivirus para la detección y eliminación de CokeBoy, que puede ser descargada desde www.pandasoftware.es. Además, ha publicado información técnica en la Enciclopedia de Virus de Panda Software, en la dirección:
http://service.pandasoftware.es/enciclopedia/fichaVirus.jsp?Virus=W97M/CokeBoy
