Real e Ilustre Colegio de Abogados de Zaragoza
 
W32/Vote
 
 
  
Nombre: W32/Vote
Alias: Vote 
Categorías del virus: Gusano
¿Reparable?: Si
Fecha de aparición: 25/09/2001
Nivel de Riesgo (0-5): 4
Nivel de Distribución (0-5): 2
Nivel de Daños (0-5): 4
  
  
Descripción breve: 

          W32/Vote es un gusano que se distribuye por correo electrónico a través de la aplicación de correo Microsoft Outlook. Los mensajes son enviados a todos los contactos de la libreta de direcciones de esta aplicación.  

          Una de las acciones que realiza este gusano consiste en cambiar la página de inicio de Internet Explorer con el fin de provocar la descarga de un fichero que resulta ser un troyano destinado a la captura de claves en los sistemas ajenos. 

          Por otra parte, uno de los ficheros que crea este gusano está destinado a modificar el fichero AUTOEXEC.BAT, con el fin de provocar el formateo de la unidad C: del ordenador afectado. 

          Otra de las acciones destructivas que realiza este gusano consiste en buscar ficheros con extensiones HTM o HTML y sobreescribirlos con un texto. 
  
  
Modo de propagación: 
  
          Este gusano utiliza el correo electrónico para propagarse a otros ordenadores. En concreto, W33/Vote se envía a todos los contactos almacenados en la libreta de direcciones de Outlook. Los mensajes enviados tendrán las siguientes características: 

          - Asunto:  Fwd: Peace BeTweeN AmeriCa And IsLaM ! 
          - Texto del mensaje: 
                    "Hi 
                     iS iT A waR Against AmeriCa Or IsLaM!? 
                     Let's Vote To Live in Peace!" 
          - Fichero adjunto: WTC.EXE 
  
  
Síntomas de infección: 

          Uno de los síntomas de la presencia de este gusano en el sistema es la modificación de la página de inicio de Internet Explorer. En concreto esta página se sustituye por la siguiente: 

          http://us.f1.yahoofs.com/users/da36d538/bc/TimeUpdate.exe?bcaVq97ATaW0yAxk 

          De este modo, al acceder a esta página se descargará un troyano (TimeUpdate.exe) conocido como Trjan/PSW.Barrio.50. Este troyano está destinado a la obtención de contraseñas de otros ordenadores. 

          Por otra parte, el gusano también intenta acceder a la siguiente página: 
          http://love135.cjb.net 

          W32/Vote crea un fichero llamado ZaCker.vbs en el directorio del sistema de Windows. Adicionalmente, crea otro fichero llamado MixDaLaL.vbs en el directorio de instalación de Windows. Por otra parte, crea otro fichero con el nombre WTC.EXE, que es una copia del propio gusano. 

          La función del fichero ZaCker.vbs consiste en borrar ficheros del directorio de Windows. 

          Otra de las acciones que realiza este fichero creado por el gusano consiste en modificar el contenido el fichero AUTOEXEC.BAT con el fin de provocar el formateo de la unidad C: del ordenador afectado. Entonces, el gusano muestra el siguiente mensaje en pantalla: 
  

 

          Al pulsar el botón "Aceptar", el gusano procederá a cerrar el sistema. 

          Por su parte, el fichero MixDaLaL.vbs busca por todas las unidades fijas y de red, ficheros cuya extensión sea "htm" o "html". Cuando los encuentra, sustituye su contenido por el siguiente texto: 

    "AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>> ZaCkEr is So Sorry For You."
          A continuación asigna a estos ficheros el atributo de ocultos. 

          Adicionalmente, el gusano busca directorios de instalación de diversos programas antivirus con el objeto de proceder a su eliminación. En concreto busca los siguientes directorios: 

  • C:\Program Files\AntiViral Toolkit Pro
  • C:\eSafe\Protect
  • C:\Program Files\Command Software\F-PROT95
  • C:\PC-Cillin 95
  • C:\PC-Cillin 97
  • C:\Program Files\Quick Heal
  • C:\Program Files\FWIN32
  • C:\Program Files\FindVirus
  • C:\Toolkit\FindVirus
  • C:\f-macro
  • C:\Program Files\McAfee\VirusScan95
  • C:\Program Files\Norton Antivirus
  • C:\TBAVW95
  • C:\VS95
  
Métodos de infección: 
  
          Como hemos comentado en el apartado anterior, este gusano se encarga de modifcar la página de inicio de Internet Explorer. Para llevar a cabo esta modificación, W32/Vote modifica la siguiente clave del registro de Windows: 

          HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main start Page. 

          Adicionalmente, este gusano también realiza otra modificación en el registro de Windows. En concreto, crea una nueva entrada cuya ubicación y contenido podemos ver a continuación: 

          HKLM\Software\Microsoft\Windows\CurrentVersion\Run Norton.Thar 
          C:\WINDOWS\SYSTEM\ZaCker.vbs 

          Como se puede observar, el valor de la entrada creada apunta al fichero ZaCker.vbs, cuya función es eliminar ficheros del directorio de Windows y modificar el fichero AUTOEXEC.BAT para conseguir el formateo de la unidad C: del ordenador afectado. 
  
  
Cómo reparar los efectos producidos: 
  
1.- ¿Estoy infectado con el virus W32/Vote? 

          W32/VOTE es un gusano que se transmite a través de correo electrónico, como un archivo adjunto o incluido en un mensaje de correo. Dicho archivo, tiene el nombre de WTC.EXE. 

          Al ejecutar el archivo WTC.EXE, incluido en el mensaje de correo, W32/Vote produce su infección. A partir de ese momento, cambia la página de inicio de Internet Explorer. Con ello consigue conectarse automáticamente a una determinada página (cuando se abre Internet Explorer) desde la que se descarga un troyano. Los efectos que produce el virus, son los siguientes: 

    • Borra archivos en el directorio de Windows. 
    • Muestra un determinado mensaje en pantalla. Al pulsar el botón Aceptar que parece en dicho mensaje, se apaga automáticamente el ordenador.
    • Formatea (da formato) la unidad de disco duro C: (se perderá todo su contenido), en el siguiente inicio/reinicio del ordenador. Esto es debido a que modifica el archivo AUTOEXEC.BAT, incluyendo en él una nueva línea.
          Puede saber si está infectado, haciendo lo siguiente:  
    • Si usted es cliente registrado de Panda Software, actualice su herramienta antivirus en la dirección: http://www.pandasoftware.es/es/actualizaciones.asp

    • y realice un análisis. 
    • Si usted no es cliente registrado de Panda Software, analice su/s ordenador/es mediante nuestra herramienta de análisis OnLine: ActiveScan.
2.- ¿Cómo puedo protegerme ante el virus W32/Vote? 

          Si usted es cliente registrado de Panda Software y quiere protegerse contra la entrada del virus en su ordenador, o en las estaciones y/o servidores de una red local; descargue el último Archivo de Identificadores de Virus (fichero de firmas - 25/09/01) desde la siguiente dirección: 
          http://www.pandasoftware.es/es/actualizaciones.asp 
En tal caso, se le solicitará su nombre de Cliente y Password por lo que le recomendamos los tenga preparados. 

          Si usted no es cliente registrado de Panda Software y quiere protegerse contra la entrada del virus en su ordenador, o en las estaciones y/o servidores de una red local; debe contar con una herramienta antivirus convenientemente actualizada. Puede conseguir la que más se adapte a sus necesidades, en las siguientes direcciones: 

3.- ¿Cómo puedo desinfectarme del virus W32/Vote? 

- Desinfección Automática: 

          Para desinfectar su ordenador de forma automática, siga las siguientes instrucciones: 

a) Ordenadores NO conectados a una red, así como ordenadores conectados a alguna red (estaciones y servidores) que NO tienen instalado Panda Administrator (Panda Seguro Antivirus Global): 

          W32/Vote, además de infectar y realizar sus acciones dañinas, también realiza modificaciones en la configuración del ordenador. Éstas, entre otras, afectan a las entradas en el Registro de Windows. 

          Panda Software cuenta con una herramienta que permite solucionar este problema y restablecer los valores originales y correctos de la configuración: PQREMOVE. Desde esta página podrá descargar dicha herramienta. 

          Descargue el fichero PQREMOVE.COM y guárdelo en el directorio que usted desee (puede descargarlo, pinchando sobre las siguientes direcciones). 

          Web de Panda:  updates.pandasoftware.com/pqremove
          R.e I.C.A.Z.:  PqRemove.Com 

          Para ejecutar esta aplicación, bastará con que haga doble click sobre el fichero que se ha descargado. A partir de ese momento, siga las instrucciones que se le indican. 

          Si es cliente registrado de Panda Software, actualice su herramienta Panda Antivirus, en la siguiente dirección: http://www.pandasoftware.es/es/actualizaciones.asp 

Nota: tenga en cuenta que la herramienta PQREMOVE, permite desinfectar el virus y reparar cada una de las modificaciones que éste ha realizado en el ordenador infectado. Sin embargo, después de esto, sólo estará protegido contando con una herramienta antivirus que se adapte a sus necesidades. 

b) Ordenadores conectados a una red (estaciones y/o servidores), que tengan instalado Panda Administrator (Panda Seguro Antivirus Global): 

          Si usted cuenta con la aplicación Panda Administrator (Panda Seguro Antivirus Global), contacte con el Departamento de Soporte Técnico de Panda Software. 

- Desinfección Manual: 

          Para desinfectar su ordenador de forma manual, siga las siguientes instrucciones: 

1. Borre los siguientes archivos, en el directorio Windows: MIXDALAL.VBS, WTC.EXE. 

2. Borre el siguiente archivo, en el directorio Windows\System: ZACKER.VBS. 

3. Busque y borre el archivo TIMEUPDATE.EXE. Éste es el troyano que se descarga (Trjan/PSW.Barrio.50 ) automáticamente. Para localizarlo haga lo siguiente: 

  • Pulse el botón Inicio de Windows.
  • Seleccione el grupo de opciones Buscar.
  • Seleccione la opción Archivos o carpetas...
  • Dentro de la sección Nombre, escriba el nombre del archivo (TIMEUPDATE.EXE)
  • Asegúrese de que ha seleccionado (C:), dentro de la sección Buscar en. Entonces, pulse el botón Buscar ahora
  • Cuando aparezca el nombre de dicho archivo en la lista, selecciónelo con el ratón y bórrelo pulsando la tecla SUPR. o DEL.
4. Borre la línea que el gusano ha introducido en el archivo AUTOEXEC.BAT. Dicha línea, es la siguiente: "echo y | format C:". Para hacerlo, siga los siguientes pasos: 
  • Pulse el botón Inicio de Windows.
  • Seleccione la opción Ejecutar....
  • Escriba lo siguiente: EDIT C:\AUTOEXEC.BAT y pulse el botón Aceptar
  • Dentro del archivo AUTOEXEC.BAT, busque o localice la siguiente línea: echo y | format C: y bórrela.
  • Selecciona el menú Archivo, en la ventana donde tiene editado el archivo AUTOEXEC.BAT
  • Seleccione la opción Salir.
  • Se le solicitará que guarde el archivo recién modificado. Pulse el botón .
5. En el Registro de Windows, elimine la entrada que el gusano ha creado: 
          HKEY_LOCAL_MACHINE\Software\microsoft\Windows\currentversion\Run\ "Norton.Thar". 
Para conseguirlo, debe seguir los siguientes pasos:  
  • Pulse el botón Inicio de Windows.
  • Seleccione la opción Ejecutar....
  • Escriba lo siguiente: REGEDIT y pulse el botón Aceptar
  • Pulse sobre el signo + de la carpeta HKEY_LOCAL_MACHINE.
  • Pulse sobre el signo + de la subcarpeta Software.
  • Pulse sobre el signo + de la subcarpeta Microsoft.
  • Pulse sobre el signo + de la subcarpeta Windows.
  • Pulse sobre el signo + de la subcarpeta CurrentVersion.
  • Pulse sobre el signo + de la subcarpeta Run.
  • Seleccione la subcarpeta "Norton.Thar" y bórrela pulsando la tecla SUPR. o DEL.
6. El virus modifica la pagina de inicio de Internet Explorer (la que se carga por defecto, cuando ejecutamos Internet Explorer), para que éste sea: http://us.f1.yahoofs.com/users/da36d538/bc/TimeUpdate.exe?bcaVq97ATaW0yAxk. Podrá modificar dicha propiedad de Internet Explorer, desde las opciones de configuración de Internet Explorer, o modificando la siguiente entrada del Registro de Windows: HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main start Page : "About:Blank" 

7. Localice el mensaje de correo electrónico recibido, con el virus y bórrelo. Recuerde que las características de este mensaje, son las siguientes: 

  • Asunto: Fwd: Peace BeTweeN AmeriCa And IsLaM !
  • Cuerpo o contenido del mensaje:

  •           "Hi 
              iS iT A waR Against AmeriCa Or IsLaM!? 
              Let's Vote To Live in Peace!" 
  • Archivo adjunto o incluido en el mensaje: WTC.EXE
8. Si usted es cliente registrado de Panda Software, actualice su antivirus con el ultimo Archivo de Identificadores de Virus de la fecha 25/09/2001. Esto podrá hacerlo desde la siguiente dirección: 
          http://www.pandasoftware.es/es/actualizaciones.asp