|
VSantivirus No. 444 - Año 5 - Martes 25 de setiembre 2001
Nombre: W32/Vote.A
Tipo: Gusano de Internet
Alias: TROJ_VOTE.A, W32/Vote@MM, W32.Vote.A@mm
Tamaño: 55,808 bytes
Fecha: 24/set/01
Se trata de un gusano de envío masivo, escrito en Visual Basic, reportado en las últimas horas como de gran actividad.
Llega en un mensaje con estas características:
Asunto: Fwd:Peace BeTweeN AmeriCa and IsLaM!
Texto:
Hi
iS iT A waR Against AmeriCa Or IsLaM !?
Let's Vote To Live in Peace!
Archivo adjunto: WTC.EXE
El icono de este adjunto, es un sobre amarillo grande.
Si se ejecuta este archivo, el gusano intentará enviarse a si mismo a todos los contactos de la libreta de direcciones del Outlook y Outlook Express.
El gusano inserta dos scripts de Visual Basic (.VBS) en el sistema, con los cuáles intentará borrar archivos de los antivirus más conocidos que estuvieran instalados en la máquina de la víctima. También intentará borrar todos los archivos en el directorio Windows, en el primer reinicio de la PC luego de la infección, y formatear todo el disco duro en el siguiente reinicio.
Todos los archivos con las extensiones .HTM y .HTML son sobrescritos, perdiéndose su contenido.
Además, compromete la seguridad del sistema, ya que descarga de Internet y ejecuta un caballo de Troya con capacidades de acceso remoto, brindándole al atacante la posibilidad de tomar el control total de la PC infectada, además de poder descargar e instalar cualquier otro programa, o robar información personal de la víctima, borrar archivos, etc..
Escrito en Visual Basic, el gusano requiere la presencia de la librería Msvbvm50.dll para poder ser ejecutado. Esta librería puede ser instalada previamente por algún otro programa, ya que en una instalación por defecto, Windows no la carga.
Si la librería existe, y el usuario hace doble clic sobre el adjunto
WTC.EXE, el primer paso del gusano es enviarse en la forma del mensaje descripto al principio, a todos los contactos de la libreta de direcciones del Outlook y Outlook Express.
Luego de ello, el gusano libera dos scripts de Visual Basic (VBS) en la carpeta de Windows y de Sistema (por defecto
C:\Windows y C:\Windows\System) con los
atributos de ocultos (+H):
C:\Windows\ZaCker.vbs
C:\Windows\System\MixDaLaL.vbs
También intentará descargar de Internet y ejecutar
un caballo de Troya en el sistema
(Backdoor.Trojan), reconocido como DUNpws.ct o Troj/Barrio:
VSantivirus No. 205 - Año 5 - Lunes 29 de enero de 2001
DUNpws.ct (Barrio Trojan). Roba las claves de Internet
Para ello, modifica en el registro la página de inicio de Internet Explorer:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Start Page = http://us.f1.[...].com/users/da36d538/bc/TimeUpdate.exe?bcaVq97ATaW0yAxk
Dicho enlace intenta descargar el troyano, un ejecutable de nombre
TimeUpdate.exe (ya no está disponible).
El gusano también intenta abrir un sitio redireccionado por cjb.net: http://[...].cjb.net/
Finalmente, el gusano intentará borrar todos los archivos de importantes carpetas, pertenecientes a conocidos
antivirus. Por ejemplo:
C:\Program Files\AntiViral Toolkit Pro\*.*
C:\eSafe\Protect\*.*
C:\Program Files\Command Software\F-PROT95\*.*
C:\PC-Cillin 95\*.*
C:\PC-Cillin 97\*.*
C:\Program Files\Quick Heal\*.*
C:\Program Files\FWIN32\*.*
C:\Program Files\FindVirus\*.*
C:\Toolkit\FindVirus\*.*
C:\f-macro\*.*
C:\Program Files\McAfee\VirusScan95\*.*
C:\Program Files\Norton AntiVirus\*.*
C:\TBAVW95\*.*
C:\VS95\*.*
El gusano también es capaz de modificar la página de inicio de Internet Explorer.
Acciones de MixDaLaL.vbs
Este archivo, generado por el gusano en \Windows\System, es un script de Visual Basic que requiere la presencia de Windows Scripting Host
(WSH) para ejecutarse.
El gusano se encarga de llamarlo, y cuando ello ocurre, el script examina todas las carpetas y todas las unidades de disco duro y de red, en busca de archivos con las extensiones
.HTM y .HTML. Los archivos que coinciden con esta búsqueda, son sobrescritos con el siguiente texto, perdiéndose su contenido original:
AmeRiCa ...Few Days WiLL Show You What We Can Do !!!
It's Our Turn >>> ZaCkEr is So Sorry For You
Acciones de ZaCker.VBS
Este otro script, creado por el gusano en la carpeta \Windows\System, no es ejecutado directamente por el gusano. En cambio, se agrega al registro la siguiente clave para que Windows lo ejecute al reiniciarse la primera vez luego de la infección (requiere la presencia del Windows Scripting Host para ejecutarse):
HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Run
Norton.Thar = C:\Windows\System\ZaCker.vbs
Cuando se reinicia Windows, y este script se ejecuta, el mismo intentará borrar todos los archivos de la carpeta
\Windows. También modificará o creará nuevo contenido en el archivo
C:\Autoexec.bat, con las instrucciones para formatear la unidad C en el siguiente reinicio de Windows.
Finalmente, el gusano desplegará este mensaje:
VBScript
I promiss We WiLL Rule The World Again...
By The Way,You Are Captured By ZaCker !!!
[ OK ]
Se pulse en el botón OK o no, el gusano intentará además apagar el sistema cerrando windows. Sin embargo, debido a que los archivos requeridos para esta acción pueden haber sido eliminados de la carpeta C:\Windows en una acción anterior, es probable este intento falle, aunque pueda provocar el congelamiento del sistema.
Como sacar el virus de un sistema infectado
Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.
Sin embargo, recuerde que en algunos casos deberá reinstalar el antivirus, si este ha sido borrado por el gusano.
Tenga como opción el F-PROT para ser ejecutado desde disquetes (ver
Cómo ejecutar F-PROT en un disquete (actualizado)).
Si la computadora ha sido reiniciada alguna vez desde la infección del virus, podrían haber sido borrados archivos vitales del sistema, debiéndose reinstalar Windows.
IMPORTANTE:
Si el troyano (Backdoor.Trojan) ha sido instalado en el sistema, es posible que su computadora pueda ser accedida en forma remota por un intruso sin su autorización. Esto es más crítico en caso de tener la computadora conectada a una red. Por esta razón es imposible garantizar la integridad del sistema luego de la infección. El usuario remoto puede haber realizado cambios a su sistema, incluyendo las siguientes acciones (entre otras posibles):
- Robo o cambio de contraseñas o archivos de contraseñas.
- Instalación de cualquier software que habilite conexiones remotas, a partir de puertas traseras.
- Instalación de programas que capturen todo lo tecleado por la víctima.
- Modificación de las reglas de los cortafuegos instalados.
- Robo de números de las tarjetas de crédito, información bancaria, datos personales.
- Borrado o modificación de archivos.
- Envío de material inapropiado o incriminatorio desde la cuenta de correo de la víctima.
- Modificación de los derechos de acceso a las cuentas de usuario o a los archivos.
- Borrado de información que pueda delatar las actividades del atacante (logs, etc.).
Estas acciones solo se indican como ejemplo, pero de ningún modo deben tomarse como las únicas posibles.
Si usted utiliza su PC, o pertenece a una organización que por su naturaleza exige ser totalmente segura, se recomienda borrar todo el contenido del disco duro, reinstalar de cero el sistema operativo, y recuperar sus archivos importantes de copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte con su administrador para tomar las acciones necesarias a fin de cambiar todas las claves de acceso, así como reinstalar Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad ante los posibles cambios realizados por el gusano, y por su troyano.
Sin olvidar las mencionadas previsiones, se puede sugerir el siguiente plan de acción para un intento de sacar el virus en forma manual.
Primero que nada, no reinicie su PC. Podría activar una de las rutinas destructivas del gusano.
Luego, siga estos pasos:
1. Desde Inicio, Buscar, Archivos o carpetas, busque y borre en la unidad C:, estos archivos:
WTC.exe, MixDaLaL.vbs, Zacker.vbs
2. Desde Inicio, Buscar, Archivos o carpetas, busque
estos archivos:
*.htm, *.html
3. Borre todos aquellos que tengan 100
bytes, ya que son los que ha modificado el gusano.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter. Luego busque la carpeta Run en la siguiente ubicación:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
5. Pinche en "Run", y en la ventana de la derecha borre la siguiente entrada:
Norton.Thar
6. Busque también la siguiente entrada:
HKEY_CURRENT_USER
Software
Microsoft
Internet Explorer
Main
7. Pinche en "Main", y en la ventana de la derecha borre el contenido de la siguiente entrada:
Start Page
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Edite el archivo C:\Autoexec.bat con el bloc de notas, y busque y borre cualquier entrada que haga referencia a estos comandos:
echo Y | format C (borre la línea entera). Grabe los cambios hechos y salga del bloc de notas.
10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Mantenga al día su antivirus, y no abra jamás adjuntos no solicitados.
Si no se tiene instalado el Windows Scripting Host, algunas de las acciones del virus no podrán ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
Para limpiar este virus de un sistema infectado, tal vez no pueda hacerlo desde los antivirus instalados, ya que estos pueden ser borrados. Se sugiere su limpieza bajo MS-DOS con F-Prot desde un disquete de inicio, como se explica en nuestro sitio (tenga en cuenta además, que si reinicia en forma normal, podría ejecutarse la rutina de formateo realizada con la modificación del archivo
AUTOEXEC.BAT):
VSantivirus No. 158 - 13/dic/2000
Cómo ejecutar F-PROT en un disquete (actualizado)
Modifique o borre el archivo AUTOEXEC.BAT antes de reiniciar su sistema.
Para aumentar la protección de su sistema, aconsejamos fuertemente se utilice algún programa que detecte todo archivo potencialmente peligroso, recibido por correo electrónico.
Sugerimos para ello, la nueva versión del ZoneAlarm (gratuito para su uso personal), que además de ser un excelente cortafuegos que protege nuestro PC de intrusos externos e internos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Zone Alarm además, detendrá y advertirá la conexión del troyano instalado por el gusano.
VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
Ver también:
27/set/01 - W32/Vote.B. Nueva versión del Vote.A con otro adjunto
Fuente: Symantec, McAfee, Trend Micro
(c) Video Soft - http://www.videosoft.net.uy
|
|