Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Malware / WTC.EXE, alias "Vote", mucho ruido y pocas nueces

WTC.EXE, alias "Vote", mucho ruido y pocas nueces

Por Deja un comentario

Este nuevo gusano nunca habría saltado desde algunas casas antivirus a
los medios de no ser por las referencias al World Trade Center (las
torres gemelas) y la inminente guerra que parece se avecina, que lo
han convertido en marketing para algunos y en carne de noticia para
otros. Aunque sus efectos dañinos han sido muy anunciados, al fin
y al cabo la parte más fácil de programar y que no le asegura su
distribución masiva, no se esperan infecciones significativas.
«Vote» se ha convertido en objeto de discordia entre las propias casas
antivirus. Mientras que algunas lo situaban en las primeras horas como
«InTheWild» (distribución generalizada), otras lo catalogan ya como
un «hype» (exageración).

En estos momentos la actividad de este gusano en España y en los
países latinos tiende a cero. Al hecho de que se presente en inglés
hay que sumar que se autoenvía en un mensaje de manera muy obvia y
fácil de identificar, con textos fijos y adjuntado como un ejecutable
(WTC.EXE). En principio, EE.UU. es el país donde podría darse la
mayor propagación, ya que simula una encuesta sobre la posible e
inminente guerra. Sin embargo, la simpleza del gusano hace pensar
que no vaya a mayores y que se pueda neutralizar en pocos días.

«Vote Virus» es uno más de esos gusanos que aprovecha Outlook, el
cliente de correo de Microsoft, para distribuirse entre todos los
contactos de la libreta de direcciones. Una vez infectado un sistema,
las acciones más destacadas consisten en intentar eliminar varios
productos antivirus, borrar el directorio de Windows y formatear la
unidad C:. Además, modifica la página de inicio de Internet Explorer
para apuntar a un troyano que una vez instalado roba contraseñas del
sistema infectado.

Aunque a primera vista parezca sofisticado por la cantidad de acciones
dañinas que lleva a cabo, la realidad es otra bien distinta. Escrito
en Visual Basic 5, necesita que el sistema a infectar tenga instalado
el Runtime de Visual Basic (MSVBVM50.DLL) para poder ejecutarse. En
el apartado técnico este gusano no aporta nada, se limita a copiar
otros virus similares, por lo que el autor debería ser catalogado de
nivel mediocre.

Así se presenta

El gusano se presenta en el archivo «WTC.EXE», iniciales del World
Trade Center (las torres gemelas), adjunto en un mensaje de correo
electrónico que simula ser una especie de encuesta sobre la inminente
guerra que se vecina:

Asunto: Fwd:Peace BeTweeN AmeriCa And IsLaM !

Cuerpo: Hi iS iT A waR Against AmeriCa Or IsLaM !?
Let´s Vote To Live in Peace!

Análisis y carga dañina

Al abrir el archivo «WTC.EXE» se infecta el sistema con dos módulos
escritos en Visual Basic Script que se encuentran almacenados dentro
del ejecutable. El primero de ellos, «MixDaLaL.vbs» se copia en el
directorio Windows y se ejecuta de forma inmediata. Su misión consiste
en buscar todos los archivos con extensión .HTM y .HTML, tanto en las
unidades locales como en las de red, y ponerles el siguiente atributo
de oculto después de sobreescribirlos con el texto:

AmeRiCa …Few Days WiLL Show You What We Can Do !!! It´s Our Turn >>>
ZaCkEr is So Sorry For You.

El segundo de los módulos, «ZaCker.vbs», se ubica en el directorio de
sistema de Windows y se ejecuta cada vez que iniciemos el sistema,
para lo que necesita modificar la siguiente entrada en el registro de
Windows:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
Norton.Thar=C:\WINDOWS\SYSTEM\ZaCker.vbs

La misión de «ZaCker.vbs» consiste en borrar todos los archivos del
directorio Windows, sobreescribe el AUTOEXEC.BAT para que la próxima
vez que se inicie el ordenador lleve a cabo un FORMAT C:, y reinicia
Windows tras mostrar una ventana con el texto:

«I promiss We WiLL Rule The World Again…By The Way,You Are Captured By
ZaCker !!!»

Otras de las acciones del gusano consiste en modificar la página de
inicio de Internet Explorer, de manera que cuando abrimos el navegador
por defecto apuntará a una dirección en Yahoo (us.f1.yahoofs.com) para
bajarse el archivo «TimeUpdate.exe». Este troyano se copia en el
directorio del sistema de Windows con el nombre «MSCTVR32.EXE» y crea
una entrada en el registro de Windows para ejecutarse cada vez que se
inicie el sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft MMedia support=MSCTVR32.EXE

La características del troyano son las estándar en este tipo de
especímenes: robar los datos del acceso telefónico a redes (nombres de
usuario, contraseñas y números de teléfonos), números de
identificación del ICQ, abrir puertas traseras, etc.

Como medida de autoprotección y supervivencia, el gusano elimina los
siguientes directorios que se corresponden con la ubicación por
defecto de algunos programas antivirus:

C:\Program Files\AntiVirus Toolkit Pro
C:\eSafeProtect
C:\Program Files\Command Software\F-PROT95
C:\PC-Cillin 95
C:\PC-Cillin 97
C:\Program Files\Quick Heal
C:\Program Files\FWIN32
C:\Program Files\FindVirus
C:\ToolkitFindVirus
C:\f-macro
C:\Program Files\McAfeeVirus\Scan95
C:\Program Files\Norton AntiVirus
C:\TBAVW95
C:\VS95

Prevención y desinfección

La prevención es de lo más sencilla, simplemente deberemos eliminar
cualquier mensaje que nos llegue con el asunto y cuerpo mencionados,
y jamás abrir el archivo adjunto «WTC.EXE». Como regla general,
recordamos el consejo de no abrir archivos adjuntos no solicitados.
La eliminación tampoco presenta mayores problemas. Si hemos ejecutado
por error el archivo «WTC.EXE», deberemos permanecer en Windows, sin
reiniciar el sistema, y con un editor de textos eliminaremos la línea
del AUTOEXEC.BAT que hace referencia al formato de la unidad C:
(echo y ¦ format C:). A continuación ejecutamos la utilidad
REGEDIT.EXE para eliminar las entradas que el gusano introduce en el
registro de Windows, ya comentadas con anterioridad, y que provocan
que se active al iniciar el sistema.

Asimismo, debemos configurar la página inicial de Internet Explorer
con la dirección que deseemos, para evitar que apunte al troyano. Por
último deberemos buscar y eliminar los ejecutables (.EXE) y los
scripts (.VBS) que hemos descrito en este análisis.

Debemos tener en cuenta que el gusano habrá sobrescrito todos los
archivos .HTM y .HTML a su alcance, por lo que deberemos restaurarlos
si contamos con copia de seguridad. Para agilizar la identificación
de los archivos modificados, podemos hacer una búsqueda de los
ficheros *.HTM *.HTML con tamaño máximo de 1 Kb. Otra posibilidad es
que el gusano haya eliminado nuestro antivirus, en tal caso habrá que
instalarlo de nuevo. Los principales antivirus del mercado ya
reconocen a «Vote Virus», por lo que se recomienda a sus usuarios
actualicen los productos.

Bernardo Quintero
bernardo@hispasec.com

Más información:

Vote Virus: un nuevo gusano tan oportunista como dañino
http://iblnews.com/news/noticia.php3?id=21319

Vote-virus (WTC) not widespread
http://www.f-secure.com/v-descs/vote.shtml

World Trade Center worm calls for vote on war
http://www.sophos.com/virusinfo/articles/votea.html

Win32.Vote.A@mm
http://www.avx-es.com/alert/win32.vote.a.php

W32/Vote@MM
http://vil.nai.com/vil/virusSummary.asp?virus_k=99212

W32/Vote
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/Vote

TROJ_VOTE.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_VOTE.A

W32.Vote.A@mm
http://www.symantec.com/avcenter/venc/data/w32.vote.a@mm.html

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.