Descripción breve: W32/Vote es un gusano que se distribuye por correo electrónico a través de la aplicación de correo Microsoft Outlook. Los mensajes son enviados a todos los contactos de la libreta de direcciones de esta aplicación. Una de las acciones que realiza este gusano consiste en cambiar la página de inicio de Internet Explorer con el fin de provocar la descarga de un fichero que resulta ser un troyano destinado a la captura de claves en los sistemas ajenos. Por otra parte, uno de los ficheros que crea este gusano está destinado a modificar el fichero AUTOEXEC.BAT, con el fin de provocar el formateo de la unidad C: del ordenador afectado.
Otra de las acciones destructivas que realiza este gusano consiste en buscar
ficheros con extensiones HTM o HTML y sobreescribirlos con un texto.
- Asunto: Fwd: Peace BeTweeN AmeriCa And
IsLaM !
Uno de los síntomas de la presencia de este gusano en el sistema es la modificación de la página de inicio de Internet Explorer. En concreto esta página se sustituye por la siguiente: http://us.f1.yahoofs.com/users/da36d538/bc/TimeUpdate.exe?bcaVq97ATaW0yAxk De este modo, al acceder a esta página se descargará un troyano (TimeUpdate.exe) conocido como Trjan/PSW.Barrio.50. Este troyano está destinado a la obtención de contraseñas de otros ordenadores.
Por otra parte, el gusano también intenta acceder a la siguiente
página:
W32/Vote crea un fichero llamado ZaCker.vbs en el directorio del sistema de Windows. Adicionalmente, crea otro fichero llamado MixDaLaL.vbs en el directorio de instalación de Windows. Por otra parte, crea otro fichero con el nombre WTC.EXE, que es una copia del propio gusano. La función del fichero ZaCker.vbs consiste en borrar ficheros del directorio de Windows.
Otra de las acciones que realiza este fichero creado por el gusano consiste
en modificar el contenido el fichero AUTOEXEC.BAT
con el fin de provocar el formateo de la unidad C: del ordenador afectado.
Entonces, el gusano muestra el siguiente mensaje en pantalla:
![]() Al pulsar el botón "Aceptar", el gusano procederá a cerrar el sistema. Por su parte, el fichero MixDaLaL.vbs busca por todas las unidades fijas y de red, ficheros cuya extensión sea "htm" o "html". Cuando los encuentra, sustituye su contenido por el siguiente texto:
Adicionalmente, el gusano busca directorios de instalación de diversos programas antivirus con el objeto de proceder a su eliminación. En concreto busca los siguientes directorios:
Métodos de infección: Como hemos comentado en el apartado anterior, este gusano se encarga de modifcar la página de inicio de Internet Explorer. Para llevar a cabo esta modificación, W32/Vote modifica la siguiente clave del registro de Windows: HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main start Page. Adicionalmente, este gusano también realiza otra modificación en el registro de Windows. En concreto, crea una nueva entrada cuya ubicación y contenido podemos ver a continuación:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Norton.Thar
Como se puede observar, el valor de la entrada creada apunta al fichero
ZaCker.vbs, cuya función es
eliminar ficheros del directorio de Windows y modificar el fichero AUTOEXEC.BAT
para conseguir el formateo de la unidad C: del ordenador afectado.
W32/VOTE es un gusano que se transmite a través de correo electrónico, como un archivo adjunto o incluido en un mensaje de correo. Dicho archivo, tiene el nombre de WTC.EXE. Al ejecutar el archivo WTC.EXE, incluido en el mensaje de correo, W32/Vote produce su infección. A partir de ese momento, cambia la página de inicio de Internet Explorer. Con ello consigue conectarse automáticamente a una determinada página (cuando se abre Internet Explorer) desde la que se descarga un troyano. Los efectos que produce el virus, son los siguientes:
y realice un análisis.
Si usted es cliente registrado de Panda Software
y quiere protegerse contra la entrada del virus en su ordenador, o en las
estaciones y/o servidores de una red local; descargue el último
Archivo de Identificadores de Virus (fichero de firmas - 25/09/01) desde
la siguiente dirección:
Si usted no es cliente registrado de Panda Software y quiere protegerse contra la entrada del virus en su ordenador, o en las estaciones y/o servidores de una red local; debe contar con una herramienta antivirus convenientemente actualizada. Puede conseguir la que más se adapte a sus necesidades, en las siguientes direcciones:
Panda Antivirus Titanium Panda Seguro Antivirus Global - Desinfección Automática: Para desinfectar su ordenador de forma automática, siga las siguientes instrucciones: a) Ordenadores NO conectados a una red, así como ordenadores conectados a alguna red (estaciones y servidores) que NO tienen instalado Panda Administrator (Panda Seguro Antivirus Global): W32/Vote, además de infectar y realizar sus acciones dañinas, también realiza modificaciones en la configuración del ordenador. Éstas, entre otras, afectan a las entradas en el Registro de Windows. Panda Software cuenta con una herramienta que permite solucionar este problema y restablecer los valores originales y correctos de la configuración: PQREMOVE. Desde esta página podrá descargar dicha herramienta. Descargue el fichero PQREMOVE.COM y guárdelo en el directorio que usted desee (puede descargarlo, pinchando sobre las siguientes direcciones).
Web de Panda: updates.pandasoftware.com/pqremove
Para ejecutar esta aplicación, bastará con que haga doble click sobre el fichero que se ha descargado. A partir de ese momento, siga las instrucciones que se le indican. Si es cliente registrado de Panda Software, actualice su herramienta Panda Antivirus, en la siguiente dirección: http://www.pandasoftware.es/es/actualizaciones.asp Nota: tenga en cuenta que la herramienta PQREMOVE, permite desinfectar el virus y reparar cada una de las modificaciones que éste ha realizado en el ordenador infectado. Sin embargo, después de esto, sólo estará protegido contando con una herramienta antivirus que se adapte a sus necesidades. b) Ordenadores conectados a una red (estaciones y/o servidores), que tengan instalado Panda Administrator (Panda Seguro Antivirus Global): Si usted cuenta con la aplicación Panda Administrator (Panda Seguro Antivirus Global), contacte con el Departamento de Soporte Técnico de Panda Software. - Desinfección Manual: Para desinfectar su ordenador de forma manual, siga las siguientes instrucciones: 1. Borre los siguientes archivos, en el directorio Windows: MIXDALAL.VBS, WTC.EXE. 2. Borre el siguiente archivo, en el directorio Windows\System: ZACKER.VBS. 3. Busque y borre el archivo TIMEUPDATE.EXE. Éste es el troyano que se descarga (Trjan/PSW.Barrio.50 ) automáticamente. Para localizarlo haga lo siguiente:
HKEY_LOCAL_MACHINE\Software\microsoft\Windows\currentversion\Run\ "Norton.Thar". Para conseguirlo, debe seguir los siguientes pasos:
7. Localice el mensaje de correo electrónico recibido, con el virus y bórrelo. Recuerde que las características de este mensaje, son las siguientes:
"Hi iS iT A waR Against AmeriCa Or IsLaM!? Let's Vote To Live in Peace!" http://www.pandasoftware.es/es/actualizaciones.asp |