1. Inserta tres archivos .VBS en lugar de dos
2. El nombre del archivo es diferente
3. El asunto y el texto del mensaje son diferentes
4. No borra archivos de programas antivirus

Como alguno de los archivos insertados por el gusano son iguales a los de la versión anterior, algunos antivirus pueden detectarlo como Vote.A

El mensaje que lo transporta tiene estas características:

Asunto: Fwd:This War Must Be Done!

Texto:
Hi
We Must Fight , We Must ReMemBer Our Victims!
No Peace Before KiLLing TeRRoRists !

Archivo adjunto: Anti_TeRRoRisM.exe

El icono de este adjunto, es un sobre amarillo grande.

Cuando el usuario ejecuta este adjunto, el gusano se activa, abriendo dos ventanas del Explorador, una conectándose a un sitio de Yahoo para descargar un troyano como veremos más adelante.

Luego, el gusano intentará enviarse a si mismo a todos los contactos de la libreta de direcciones del Outlook y Outlook Express.

El gusano también cambia la pantalla de inicio del Internet Explorer por lo siguiente:

about: I SwEar, We WiLL Rule This World SooN !!!

Esto agrega un texto entre las etiquetas <HTML> y </HTML> que hace que en la pantalla del Explorer aparezca lo siguiente:

I SwEar, We WiLL Rule This World SooN !!!

Además, el gusano copia los scripts MixDaLaL.vbs, WaiL.vbs y DaLaL.vbs de Visual Basic (.VBS) en las carpetas Windows y Windows\System (\Winnt y \Winnt\System32). Por defecto:

C:\Windows\MixDaLaL.vbs 
C:\Windows\System\WaiL.vbs 
C:\Windows\System\DaLaL.vbs

Más adelante, el gusano intentará descargar y ejecutar el troyano TimeUpdate.exe (Backdoor.Trojan, DUNpws.ct o Troj/Barrio), conectándose a un sitio en Yahoo desde una ventana del Explorer.

VSantivirus No. 205 - Año 5 - Lunes 29 de enero de 2001
DUNpws.ct (Barrio Trojan). Roba las claves de Internet

Finalmente, el gusano abre también una página Web en una segunda ventana del Explorer mostrando una pantalla con el siguiente texto, y el tema musical de James Bond como fondo:

AmeRiCa ...

YouR Last Day Is Cumin Soon!

ZaCker ...

Acciones de MixDaLaL.vbs

Este archivo, idéntico al del gusano Vote.A, es generado en \Windows\System. Se trata de un script de Visual Basic que requiere la presencia de Windows Scripting Host (WSH) para ejecutarse.

El gusano se encarga de llamarlo, y cuando ello ocurre, el script examina todas las carpetas y todas las unidades de disco duro y de red, en busca de archivos con las extensiones .HTM y .HTML. Los archivos que coinciden con esta búsqueda, son sobrescritos con el siguiente texto, perdiéndose su contenido original: 

AmeRiCa ...Few Days WiLL Show You What We Can Do !!!
It's Our Turn >>> ZaCkEr is So Sorry For You 

Todos estos archivos son puestos con los atributos de ocultos (+H).

Acciones de DaLaL.VBS

Este archivo (que es una copia del ZaCker.VBS del Vote.A) es insertado en C:\Windows\System\ y no es ejecutado por el gusano. Lo que el gusano crea es esta clave en el registro a los efectos de ejecutarlo en cada reinicio del sistema.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ZaCker = C:\Windows\System\DaLaL.vbs

Cuando este script se activa (en el próximo reinicio de Windows), se realizan estas tareas:

Se modificará o creará nuevo contenido en el archivo C:\Autoexec.bat, con las instrucciones para formatear el disco duro (acción que se cumplirá en el siguiente reinicio).

También se creará esta nueva clave en el registro que hará que el archivo Wail.vbs se ejecute en el próximo reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ALWaiL = C:\Windows\System\WaiL.vbs

Finalmente, el script muestra el siguiente mensaje:

VBScript

I promiss We WiLL Rule The World Again...
By The Way,You Are Captured By ZaCker !!!

[    OK    ] 

Después de mostrar este mensaje, el gusano intentará reiniciar Windows, ocasionando la ejecución del AUTOEXEC.BAT (solo Windows 95/98 y Me), y la consiguiente acción de formatear la unidad C:

Acciones de WaiL.VBS

Si la unidad C no es reformateada luego de la ejecución del script DaLaL.vbs, entonces WaiL.vbs se ejecutará. Este script solo intentará borrar todos los archivos de la carpeta C:\Windows.

Una vez finalizada su labor muestra el siguiente mensaje:

VBScript

We Are ReaDy To Die For What We Believe In !! BYE

[    OK    ]

Como sacar el virus de un sistema infectado

Para quitar este gusano, ejecute un antivirus al día, y borre todos los archivos detectados como W32.Vote.A y W32.Vote.B.

Tenga como opción el F-PROT para ser ejecutado desde disquetes (ver Cómo ejecutar F-PROT en un disquete).

Si la computadora ha sido reiniciada alguna vez desde la infección del virus, podrían haber sido borrados archivos vitales del sistema, debiéndose reinstalar Windows.

IMPORTANTE:

Si el troyano (Backdoor.Trojan, DUNpws.ct o Troj/Barrio) ha sido instalado en el sistema, es posible que su computadora pueda ser accedida en forma remota por un intruso sin su autorización. Esto es más crítico en caso de tener la computadora conectada a una red. Por esta razón es imposible garantizar la integridad del sistema luego de la infección. El usuario remoto puede haber realizado cambios a su sistema, incluyendo las siguientes acciones (entre otras posibles):

1. Robo o cambio de contraseñas o archivos de contraseñas.
2. Instalación de cualquier software que habilite conexiones remotas, a partir de puertas traseras.
3. Instalación de programas que capturen todo lo tecleado por la víctima.
4. Modificación de las reglas de los cortafuegos instalados.
5. Robo de números de las tarjetas de crédito, información bancaria, datos personales.
6. Borrado o modificación de archivos.
7. Envío de material inapropiado o incriminatorio desde la cuenta de correo de la víctima.
8. Modificación de los derechos de acceso a las cuentas de usuario o a los archivos.
9. Borrado de información que pueda delatar las actividades del atacante (logs, etc.).

Estas acciones solo se indican como ejemplo, pero de ningún modo deben tomarse como las únicas posibles.

Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores.

Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora.

En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras.

Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano, y por su troyano.

Sin olvidar las mencionadas previsiones, se puede sugerir el siguiente plan de acción para un intento de sacar el virus en forma manual.

Primero que nada, no reinicie su PC. Podría activar una de las rutinas destructivas del gusano.

Luego, siga estos pasos:

1. Desde Inicio, Buscar, Archivos o carpetas, busque y borre en la unidad C:, estos archivos:

Anti_TeRRoRisM.exe, MixDaLaL.vbs, WaiL.vbs y DaLaL.vbs

2. Desde Inicio, Buscar, Archivos o carpetas, busque estos archivos (asegúrese tener activa en Opciones de carpeta, Ver, la opción "Mostrar todos los archivos" ya que estos tienen los atributos de oculto):

*.htm, *.html

3. Borre todos aquellos que tengan 100 bytes aprox., ya que son los que ha modificado el gusano.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter. Luego busque la carpeta Run en la siguiente ubicación:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

5. Pinche en "Run", y en la ventana de la derecha borre las siguientes entradas:

ZaCker
ALWaiL

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Edite el archivo C:\Autoexec.bat con el bloc de notas, y busque y borre cualquier entrada que haga referencia a estos comandos: echo Y | format C (borre la línea entera). Grabe los cambios hechos y salga del bloc de notas.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia.

Mantenga al día su antivirus, y no abra jamás adjuntos no solicitados.

Si no se tiene instalado el Windows Scripting Host, algunas de las acciones del virus no podrán ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS

Para limpiar este virus de un sistema infectado, tal vez no pueda hacerlo desde los antivirus instalados, ya que estos pueden ser borrados. Se sugiere su limpieza bajo MS-DOS con F-Prot desde un disquete de inicio, como se explica en nuestro sitio (tenga en cuenta además, que si reinicia en forma normal, podría ejecutarse la rutina de formateo realizada con la modificación del archivo AUTOEXEC.BAT):

VSantivirus No. 158 - 13/dic/2000
Cómo ejecutar F-PROT en un disquete (actualizado)

Modifique o borre el archivo AUTOEXEC.BAT antes de reiniciar su sistema.

Para aumentar la protección de su sistema, aconsejamos fuertemente se utilice algún programa que detecte todo archivo potencialmente peligroso, recibido por correo electrónico.

Sugerimos para ello, la nueva versión del ZoneAlarm (gratuito para su uso personal), que además de ser un excelente cortafuegos que protege nuestro PC de intrusos externos e internos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Zone Alarm además, detendrá y advertirá la conexión del troyano instalado por el gusano.

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red

Más datos:

VSantivirus No. 444 - 25/set/01
W32/Vote.A (WTC). Destruye información e instala troyano


Fuente: Symantec, McAfee, Trend Micro
(c) Video Soft - http://www.videosoft.net.uy