• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / WTC.EXE, alias "Vote", mucho ruido y pocas nueces

WTC.EXE, alias "Vote", mucho ruido y pocas nueces

26 septiembre, 2001 Por Hispasec Deja un comentario

Este nuevo gusano nunca habría saltado desde algunas casas antivirus a
los medios de no ser por las referencias al World Trade Center (las
torres gemelas) y la inminente guerra que parece se avecina, que lo
han convertido en marketing para algunos y en carne de noticia para
otros. Aunque sus efectos dañinos han sido muy anunciados, al fin
y al cabo la parte más fácil de programar y que no le asegura su
distribución masiva, no se esperan infecciones significativas.
«Vote» se ha convertido en objeto de discordia entre las propias casas
antivirus. Mientras que algunas lo situaban en las primeras horas como
«InTheWild» (distribución generalizada), otras lo catalogan ya como
un «hype» (exageración).

En estos momentos la actividad de este gusano en España y en los
países latinos tiende a cero. Al hecho de que se presente en inglés
hay que sumar que se autoenvía en un mensaje de manera muy obvia y
fácil de identificar, con textos fijos y adjuntado como un ejecutable
(WTC.EXE). En principio, EE.UU. es el país donde podría darse la
mayor propagación, ya que simula una encuesta sobre la posible e
inminente guerra. Sin embargo, la simpleza del gusano hace pensar
que no vaya a mayores y que se pueda neutralizar en pocos días.

«Vote Virus» es uno más de esos gusanos que aprovecha Outlook, el
cliente de correo de Microsoft, para distribuirse entre todos los
contactos de la libreta de direcciones. Una vez infectado un sistema,
las acciones más destacadas consisten en intentar eliminar varios
productos antivirus, borrar el directorio de Windows y formatear la
unidad C:. Además, modifica la página de inicio de Internet Explorer
para apuntar a un troyano que una vez instalado roba contraseñas del
sistema infectado.

Aunque a primera vista parezca sofisticado por la cantidad de acciones
dañinas que lleva a cabo, la realidad es otra bien distinta. Escrito
en Visual Basic 5, necesita que el sistema a infectar tenga instalado
el Runtime de Visual Basic (MSVBVM50.DLL) para poder ejecutarse. En
el apartado técnico este gusano no aporta nada, se limita a copiar
otros virus similares, por lo que el autor debería ser catalogado de
nivel mediocre.

Así se presenta

El gusano se presenta en el archivo «WTC.EXE», iniciales del World
Trade Center (las torres gemelas), adjunto en un mensaje de correo
electrónico que simula ser una especie de encuesta sobre la inminente
guerra que se vecina:

Asunto: Fwd:Peace BeTweeN AmeriCa And IsLaM !

Cuerpo: Hi iS iT A waR Against AmeriCa Or IsLaM !?
Let´s Vote To Live in Peace!

Análisis y carga dañina

Al abrir el archivo «WTC.EXE» se infecta el sistema con dos módulos
escritos en Visual Basic Script que se encuentran almacenados dentro
del ejecutable. El primero de ellos, «MixDaLaL.vbs» se copia en el
directorio Windows y se ejecuta de forma inmediata. Su misión consiste
en buscar todos los archivos con extensión .HTM y .HTML, tanto en las
unidades locales como en las de red, y ponerles el siguiente atributo
de oculto después de sobreescribirlos con el texto:

AmeRiCa …Few Days WiLL Show You What We Can Do !!! It´s Our Turn >>>
ZaCkEr is So Sorry For You.

El segundo de los módulos, «ZaCker.vbs», se ubica en el directorio de
sistema de Windows y se ejecuta cada vez que iniciemos el sistema,
para lo que necesita modificar la siguiente entrada en el registro de
Windows:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
Norton.Thar=C:\WINDOWS\SYSTEM\ZaCker.vbs

La misión de «ZaCker.vbs» consiste en borrar todos los archivos del
directorio Windows, sobreescribe el AUTOEXEC.BAT para que la próxima
vez que se inicie el ordenador lleve a cabo un FORMAT C:, y reinicia
Windows tras mostrar una ventana con el texto:

«I promiss We WiLL Rule The World Again…By The Way,You Are Captured By
ZaCker !!!»

Otras de las acciones del gusano consiste en modificar la página de
inicio de Internet Explorer, de manera que cuando abrimos el navegador
por defecto apuntará a una dirección en Yahoo (us.f1.yahoofs.com) para
bajarse el archivo «TimeUpdate.exe». Este troyano se copia en el
directorio del sistema de Windows con el nombre «MSCTVR32.EXE» y crea
una entrada en el registro de Windows para ejecutarse cada vez que se
inicie el sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft MMedia support=MSCTVR32.EXE

La características del troyano son las estándar en este tipo de
especímenes: robar los datos del acceso telefónico a redes (nombres de
usuario, contraseñas y números de teléfonos), números de
identificación del ICQ, abrir puertas traseras, etc.

Como medida de autoprotección y supervivencia, el gusano elimina los
siguientes directorios que se corresponden con la ubicación por
defecto de algunos programas antivirus:

C:\Program Files\AntiVirus Toolkit Pro
C:\eSafeProtect
C:\Program Files\Command Software\F-PROT95
C:\PC-Cillin 95
C:\PC-Cillin 97
C:\Program Files\Quick Heal
C:\Program Files\FWIN32
C:\Program Files\FindVirus
C:\ToolkitFindVirus
C:\f-macro
C:\Program Files\McAfeeVirus\Scan95
C:\Program Files\Norton AntiVirus
C:\TBAVW95
C:\VS95

Prevención y desinfección

La prevención es de lo más sencilla, simplemente deberemos eliminar
cualquier mensaje que nos llegue con el asunto y cuerpo mencionados,
y jamás abrir el archivo adjunto «WTC.EXE». Como regla general,
recordamos el consejo de no abrir archivos adjuntos no solicitados.
La eliminación tampoco presenta mayores problemas. Si hemos ejecutado
por error el archivo «WTC.EXE», deberemos permanecer en Windows, sin
reiniciar el sistema, y con un editor de textos eliminaremos la línea
del AUTOEXEC.BAT que hace referencia al formato de la unidad C:
(echo y ¦ format C:). A continuación ejecutamos la utilidad
REGEDIT.EXE para eliminar las entradas que el gusano introduce en el
registro de Windows, ya comentadas con anterioridad, y que provocan
que se active al iniciar el sistema.

Asimismo, debemos configurar la página inicial de Internet Explorer
con la dirección que deseemos, para evitar que apunte al troyano. Por
último deberemos buscar y eliminar los ejecutables (.EXE) y los
scripts (.VBS) que hemos descrito en este análisis.

Debemos tener en cuenta que el gusano habrá sobrescrito todos los
archivos .HTM y .HTML a su alcance, por lo que deberemos restaurarlos
si contamos con copia de seguridad. Para agilizar la identificación
de los archivos modificados, podemos hacer una búsqueda de los
ficheros *.HTM *.HTML con tamaño máximo de 1 Kb. Otra posibilidad es
que el gusano haya eliminado nuestro antivirus, en tal caso habrá que
instalarlo de nuevo. Los principales antivirus del mercado ya
reconocen a «Vote Virus», por lo que se recomienda a sus usuarios
actualicen los productos.

Bernardo Quintero
bernardo@hispasec.com

Más información:

Vote Virus: un nuevo gusano tan oportunista como dañino
http://iblnews.com/news/noticia.php3?id=21319

Vote-virus (WTC) not widespread
http://www.f-secure.com/v-descs/vote.shtml

World Trade Center worm calls for vote on war
http://www.sophos.com/virusinfo/articles/votea.html

Win32.Vote.A@mm
http://www.avx-es.com/alert/win32.vote.a.php

W32/Vote@MM
http://vil.nai.com/vil/virusSummary.asp?virus_k=99212

W32/Vote
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Vote

TROJ_VOTE.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_VOTE.A

W32.Vote.A@mm
http://www.symantec.com/avcenter/venc/data/w32.vote.a@mm.html

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Evasión de CloudTrail en AWS a través de API no documentada
  • USB Killer, el enchufable que puede freir tu equipo
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Técnica permite modificar ficheros PDF con firma digital

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR