|
|
 |
|
|
| Noticias |
WTC.EXE, alias "Vote", mucho ruido y pocas nueces
[26-09-01]
Este nuevo gusano nunca habría saltado desde algunas casas antivirus a los medios de no ser por las referencias al World Trade Center (las torres gemelas) y la inminente guerra que parece se avecina, que lo han convertido en marketing para algunos y en carne de noticia para otros. Aunque sus efectos dañinos han sido muy anunciados, al fin y al cabo la parte más fácil de programar y que no le asegura su distribución masiva, no se esperan infecciones significativas.
"Vote" se ha convertido en objeto de discordia entre las propias casas antivirus. Mientras que algunas lo situaban en las primeras horas como "InTheWild" (distribución generalizada), otras lo catalogan ya como un "hype" (exageración).
En estos momentos la actividad de este gusano en España y en los países latinos tiende a cero. Al hecho de que se presente en inglés hay que sumar que se autoenvía en un mensaje de manera muy obvia y fácil de identificar, con textos fijos y adjuntado como un ejecutable (WTC.EXE). En principio, EE.UU. es el país donde podría darse la mayor propagación, ya que simula una encuesta sobre la posible e inminente guerra. Sin embargo, la simpleza del gusano hace pensar que no vaya a mayores y que se pueda neutralizar en pocos días.
"Vote Virus" es uno más de esos gusanos que aprovecha Outlook, el cliente de correo de Microsoft, para distribuirse entre todos los contactos de la libreta de direcciones. Una vez infectado un sistema, las acciones más destacadas consisten en intentar eliminar varios productos antivirus, borrar el directorio de Windows y formatear la unidad C:. Además, modifica la página de inicio de Internet Explorer para apuntar a un troyano que una vez instalado roba contraseñas del sistema infectado.
Aunque a primera vista parezca sofisticado por la cantidad de acciones dañinas que lleva a cabo, la realidad es otra bien distinta. Escrito en Visual Basic 5, necesita que el sistema a infectar tenga instalado el Runtime de Visual Basic (MSVBVM50.DLL) para poder ejecutarse. En el apartado técnico este gusano no aporta nada, se limita a copiar otros virus similares, por lo que el autor debería ser catalogado de nivel mediocre.
Así se presenta
El gusano se presenta en el archivo "WTC.EXE", iniciales del World Trade Center (las torres gemelas), adjunto en un mensaje de correo electrónico que simula ser una especie de encuesta sobre la inminente guerra que se vecina:
Asunto: Fwd:Peace BeTweeN AmeriCa And IsLaM !
Cuerpo: Hi iS iT A waR Against AmeriCa Or IsLaM !?
Let's Vote To Live in Peace!
Análisis y carga dañina
Al abrir el archivo "WTC.EXE" se infecta el sistema con dos módulos escritos en Visual Basic Script que se encuentran almacenados dentro del ejecutable. El primero de ellos, "MixDaLaL.vbs" se copia en el directorio Windows y se ejecuta de forma inmediata. Su misión consiste en buscar todos los archivos con extensión .HTM y .HTML, tanto en las unidades locales como en las de red, y ponerles el siguiente atributo de oculto después de sobreescribirlos con el texto:
AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>>
ZaCkEr is So Sorry For You.
El segundo de los módulos, "ZaCker.vbs", se ubica en el directorio de sistema de Windows y se ejecuta cada vez que iniciemos el sistema, para lo que necesita modificar la siguiente entrada en el registro de
Windows:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Norton.Thar=C:\WINDOWS\SYSTEM\ZaCker.vbs
La misión de "ZaCker.vbs" consiste en borrar todos los archivos del directorio Windows, sobreescribe el AUTOEXEC.BAT para que la próxima vez que se inicie el ordenador lleve a cabo un FORMAT C:, y reinicia Windows tras mostrar una ventana con el texto:
"I promiss We WiLL Rule The World Again...By The Way,You Are Captured By ZaCker !!!"
Otras de las acciones del gusano consiste en modificar la página de inicio de Internet Explorer, de manera que cuando abrimos el navegador por defecto apuntará a una dirección en Yahoo (us.f1.yahoofs.com) para bajarse el archivo "TimeUpdate.exe". Este troyano se copia en el directorio del sistema de Windows con el nombre "MSCTVR32.EXE" y crea una entrada en el registro de Windows para ejecutarse cada vez que se inicie el sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft MMedia support=MSCTVR32.EXE
La características del troyano son las estándar en este tipo de especímenes: robar los datos del acceso telefónico a redes (nombres de usuario, contraseñas y números de teléfonos), números de identificación del ICQ, abrir puertas traseras, etc.
Como medida de autoprotección y supervivencia, el gusano elimina los siguientes directorios que se corresponden con la ubicación por defecto de algunos programas antivirus:
C:\Program Files\AntiVirus Toolkit Pro
C:\eSafeProtect
C:\Program Files\Command Software\F-PROT95
C:\PC-Cillin 95
C:\PC-Cillin 97
C:\Program Files\Quick Heal
C:\Program Files\FWIN32
C:\Program Files\FindVirus
C:\ToolkitFindVirus
C:\f-macro
C:\Program Files\McAfeeVirus\Scan95
C:\Program Files\Norton AntiVirus
C:\TBAVW95
C:\VS95
Prevención y desinfección
La prevención es de lo más sencilla, simplemente deberemos eliminar cualquier mensaje que nos llegue con el asunto y cuerpo mencionados, y jamás abrir el archivo adjunto "WTC.EXE". Como regla general, recordamos el consejo de no abrir archivos adjuntos no solicitados. La eliminación tampoco presenta mayores problemas. Si hemos ejecutado por error el archivo "WTC.EXE", deberemos permanecer en Windows, sin reiniciar el sistema, y con un editor de textos eliminaremos la línea del AUTOEXEC.BAT que hace referencia al formato de la unidad C: (echo y | format C:). A continuación ejecutamos la utilidad REGEDIT.EXE para eliminar las entradas que el gusano introduce en el registro de Windows, ya comentadas con anterioridad, y que provocan que se active al iniciar el sistema.
Asimismo, debemos configurar la página inicial de Internet Explorer con la dirección que deseemos, para evitar que apunte al troyano. Por último deberemos buscar y eliminar los ejecutables (.EXE) y los scripts (.VBS) que hemos descrito en este análisis.
Debemos tener en cuenta que el gusano habrá sobrescrito todos los archivos .HTM y .HTML a su alcance, por lo que deberemos restaurarlos si contamos con copia de seguridad. Para agilizar la identificación de los archivos modificados, podemos hacer una búsqueda de los ficheros *.HTM *.HTML con tamaño máximo de 1 Kb. Otra posibilidad es que el gusano haya eliminado nuestro antivirus, en tal caso habrá que instalarlo de nuevo. Los principales antivirus del mercado ya reconocen a "Vote Virus", por lo que se recomienda a sus usuarios actualicen los productos.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=1067
Más información:
'Vote Virus': un nuevo gusano tan oportunista como dañino
http://iblnews.com/news/noticia.php3?id=21319
Vote-virus (WTC) not widespread
http://www.f-secure.com/v-descs/vote.shtml
World Trade Center worm calls for vote on war
http://www.sophos.com/virusinfo/articles/votea.html
Win32.Vote.A@mm
http://www.avx-es.com/alert/win32.vote.a.php
W32/Vote@MM
http://vil.nai.com/vil/virusSummary.asp?virus_k=99212
W32/Vote
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Vote
TROJ_VOTE.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_VOTE.A
W32.Vote.A@mm
http://www.symantec.com/avcenter/venc/data/w32.vote.a@mm.html
Bernardo Quintero
bernardo@hispasec.com
Noticias actuales...
Archivo de noticias...
|
|
|
| |
|
|
Gratis Servicio de noticias
|
|
|
Tus Sugerencias son bienvenidas
Pincha Aquí |
¡¡Lista de correo!!
Introduzca su correo:
|
|
