Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Vote.C. Nueva variante y herramienta de desinfección
 
VSantivirus No. 447 - Año 5 - Viernes 28 de setiembre 2001

Nombre: W32/Vote.C
Tipo: Gusano de Internet
Alias: W32.Vote.gen@mm, W32.Vote.C@mm, TROJ_VOTE.C
Tamaño: 56,320 bytes
Fecha: 27/set/01

Este gusano es una variante del W32/Vote.A y W32/Vote.B.

Es un gusano capaz de enviarse a si mismo a todos los contactos de la libreta de direcciones del Outlook y Outlook Express.

Inserta tres scripts de Visual Basic (.VBS) en el sistema, con los cuáles realizará varias acciones maliciosas, como borrar todos los archivos con las extensiones .HTM y .HTML en el disco duro, los cuáles son sobrescritos, perdiéndose su contenido.

También intentará formatear todo el disco duro, y si no lo logra, borrar todos los archivos en el directorio Windows.

Además, compromete la seguridad del sistema, ya que descarga de Internet y ejecuta un caballo de Troya con capacidades de acceso remoto, brindándole al atacante la posibilidad de tomar el control total de la PC infectada, además de poder descargar e instalar cualquier otro programa, o robar información personal de la víctima, borrar archivos, etc..

Escrito en Visual Basic, el gusano requiere la presencia de la librería Msvbvm50.dll para poder ser ejecutado. Esta librería puede ser instalada previamente por algún otro programa, ya que en una instalación por defecto, Windows 95/98 no la carga. En cambio Windows Me la incluye en una instalación normal.

También modifica la pantalla de inicio del Internet Explorer.

Las principales diferencias con las versiones anteriores son:
  1. Inserta tres archivos .VBS en lugar de dos como el Vote.A
  2. El nombre del archivo es diferente al de Vote.B e igual al del Vote.A
  3. El asunto y el texto del mensaje son diferentes al del Vote.B, igual al del Vote.A
  4. No borra archivos de programas antivirus como el Vote.A

Como alguno de los archivos insertados por el gusano son iguales a los de versiones anteriores, algunos antivirus pueden detectarlo como Vote.A, o Vote.B.

El mensaje conque se propaga, tiene estas características:

Asunto: Fwd:Peace BeTweeN AmeriCa and IsLaM!

Texto:
Hi
iS iT A waR Against AmeriCa Or IsLaM !?
Let's Vote To Live in Peace!

Archivo adjunto: WTC.EXE

El icono de este adjunto, es igual al de las anteriores versiones (un sobre amarillo grande).

Cuando se ejecuta, el gusano copia los scripts MixDaLaL.vbs, WaiL.vbs y DaLaL.vbs de Visual Basic (.VBS) en las carpetas Windows y Windows\System (\Winnt y \Winnt\System32). Por defecto:

C:\Windows\MixDaLaL.vbs 
C:\Windows\System\WaiL.vbs 
C:\Windows\System\DaLaL.vbs

La acción de MixDaLaL.vbs, DaLaL.VBS y WaiL.VBS está detallada en la descripción de Voto.B

Más datos:

VSantivirus No. 444 - Año 5 - Martes 25 de setiembre 2001
W32/Vote.A (WTC). Destruye información e instala troyano


Para remover manualmente este gusano

Siga los procedimientos dados para la versión Vote.b

VSantivirus No. 446 - Año 5 - Jueves 27 de setiembre 2001
W32/Vote.B. Nueva versión del Vote.A con otro adjunto


Para remover automáticamente este gusano

Esta herramienta de Computer Associates borra los scripts creados por el gusano, y las modificaciones hechas en el registro.

Funciona para todas las variantes conocidas del Vote (A, B y C).

CleanVotes Cleaning Utility (10 Kb)
www.cai.com/virusinfo/encyclopedia/descriptions/utils/cleanvotes.zip

CleanVotes elimina los siguientes archivos, si están presente en una máquina infectada:

WTC.exe 
MixDaLaL.vbs
Anti_TeRRoRisM.exe 
ZaCker.vbs
WaiL.vbs
DaLaL.vbs

También elimina estas entradas del registro:

HKLM\Software\Windows\CurrentVersion\Run\Norton.Thar
HKLM\Software\Windows\CurrentVersion\Run\ZaCker
HKCU\software\microsoft\internet Explorer\main\start Page

La página de inicio del Internet Explorer es puesta en blanco, pero puede ser cambiada desde Herramientas (del IE), Opciones de Internet, General, Página de inicio, por una de su preferencia.


Fuente: Symantec, Mcafee, Trend Micro, Computer Associates
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS