Real e Ilustre Colegio de Abogados de Zaragoza
 
W32/Vote.B
 
 
  
Nombre: W32/Vote.B
Alias:  
Categorías del virus: Gusano
¿Reparable?: Si
Fecha de aparición: 27/09/2001
Nivel de Riesgo (0-5): 3
Nivel de Distribución (0-5): 4
Nivel de Daños (0-5): 3
  
  
Descripción breve: 

          W32/Vote.B es un gusano que se distribuye por correo electrónico a través de la aplicación de correo Microsoft Outlook. Los mensajes son enviados a todos los contactos de la libreta de direcciones de esta aplicación.  

          Una de las acciones que realiza este gusano consiste en cambiar la página de inicio de Internet Explorer con el fin de provocar la descarga de un fichero que resulta ser un troyano destinado a la captura de claves en los sistemas ajenos.

          Por otra parte, uno de los ficheros que crea este gusano está destinado a modificar el fichero AUTOEXEC.BAT, con el fin de provocar el formateo de la unidad C: del ordenador afectado.

          Otra de las acciones destructivas que realiza este gusano consiste en buscar ficheros con extensiones HTM o HTML y sobreescribirlos con un texto.
  
  
Modo de propagación: 
  
          Este gusano utiliza el correo electrónico para propagarse a otros ordenadores. En concreto, W33/Vote.B se envía a todos los contactos almacenados en la libreta de direcciones de Outlook. Los mensajes enviados tendrán las siguientes características:  

          - Asunto:  Fwd: This War Must Be Done! 
          - Texto del mensaje:  
                    "Hi
                     We  Must Fight  , We Must ReMemBer Our Victims! 
                     No Peace Before KiLLing TeRRoRists!"
          - Fichero adjunto: Anti_TeRRoRisM.exe
 
 
Síntomas de infección: 

          Uno de los síntomas de la presencia de este gusano en el sistema es la modificación de la página de inicio de Internet Explorer. En concreto esta página se sustituye por la siguiente:

          http://us.f1.yahoofs.com/users/da36d538/bc/TimeUpdate.exe?bcaVq97ATaW0yAxk

          De este modo, al acceder a esta página se descargará un troyano (TimeUpdate.exe) conocido como Trjan/PSW.Barrio.50. Este troyano está destinado a la obtención de contraseñas de otros ordenadores.

          Por otra parte, el gusano también intenta acceder a la siguiente página:
          http://zackerwtc.cjb.net

          W32/Vote.B crea dos ficheros llamados WaiL.vbs y DaLaL.vbs en el directorio del sistema de Windows. Adicionalmente, crea otro fichero llamado MixDaLaL.vbs en el directorio de instalación de Windows. Por otra parte, crea otro fichero con el nombre Anti_TeRRoRisM.exe, que es una copia del propio gusano.

          La función del fichero DaLaL.vbs consiste en modificar el contenido el fichero AUTOEXEC.BAT con el fin de provocar el formateo de la unidad C: del ordenador afectado. Entonces, el gusano muestra el siguiente mensaje en pantalla:
 

 

          Al pulsar el botón "Aceptar", el gusano procederá a cerrar el sistema.

          Por su parte, el fichero MixDaLaL.vbs busca por todas las unidades fijas y de red, ficheros cuya extensión sea "htm" o "html". Cuando los encuentra, sustituye su contenido por el siguiente texto:

    "AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>> ZaCkEr is So Sorry For You."
          A continuación asigna a estos ficheros el atributo de ocultos.

          La función del fichero WaiL.vbs consiste en borrar ficheros del directorio de Windows. Una vez realizada esta acción muestra el siguiente mensaje en pantalla:
 

 
  
  
Métodos de infección: 
  
          Este gusano crea dos entradas en el registro de Windows cuya ubicación y contenido podemos ver a continuación:

          HKLM\Software\Microsoft\Windows\CurrentVersion\Run Zacker
          C:\Windows\System.DaLaL.vbs 

          HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run\ALWaiL
          asignandole el valor: WaiL.vbs