SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | Anterior | ||
Alias conocidos: W32 Vote.B @ mm,
Riesgo Infección: Alto (Bajo, Alto, Muy Alto)
Activación: Sobreescribe todos los HTM y HTML de los discos locales y de red
Propagación: Por autoenvío a libreta Outlook, de email con fichero infectado
Detección: DATS 4164 (y desde DATS 4100 con exploración heurística)
Motor necesario: 4.0.70
Infección actual: Inicial
(Inicial, Media, Elevada)
Se trata de una variante del ya conocido W32/Vote.A @ mm, que igual que el primero, envía
emails con fichero anexado infectado a todas las direcciones de la libreta del Outlook.
Si bien con los DATS 4163 ya está identificado el primer virus relativo al terrorismo contra América que ocasionó la catástrofe del World Trade Center de New York el ppdo 11 de Septiembre, hoy aparece una nueva variante que genera tres ficheros VBS en lugar de los dos del primer virus, y al nuevo le llama desde el registro de sistema, mezclando el nombre del valor de las claves con el nombre del fichero que generaba el primer virus (ZacKer), ejecutando un Run del fichero DaLaL.vbs situado en el directorio de sistema de Windows.
Con los DATS 4164 que estarán disponibles a partir del 4 de Octubre 2001, se identificará esta nueva variante como W32/Vote.B @ mm, si bien, al igual que el inicial, se detecta ya genéricamente como New Backdoor, desde DATS 4100, a través del proceso heurístico disponible en testeo y en residente.
El mail llega con el siguiente formato:
Asunto: Fwd: This War Must Be Done !
Texto: We Must Fight, We Must ReMemBer Our Victims !
No Peace Before KiLLing TeRRoRists !
Adjunto Anti_TeRRoRisM.exe
Cuando se ejecuta el fichero anexo al mail, el navegador accede a
dos páginas
de Internet:
http://us.f1.yahoofs.com/users/da36d538/bc/TimeUpdate.exe?bc6sNA8A_jiPyAxk y
http://zackerwtc.cjb.net/
bajando de la primera un troyano ya controlado por DATS 4088 como
PWS-CT
y de la segunda visualiza un mensaje en letras de mayor tamaño y resalte:
AmeRiCa ...
Los tres ficheros que crea (ocultos) son el MixDaLaL.vbs, en el directorio de
Windows, y el WaiL.vbs y el indicado DaLaL.vbs que los copia en el directorio de sistema.
La inmediata acción es la de sobreescribir todos los ficheros HTM y HTML de todos los
discos duros locales y de red con el siguiente texto:
AmeRiCa ... Few Days WiLL Show You What We Can Do !!! It’s Our Turn >>> ZaCkEr is So Sorry For You
El DaLaL.vbs contiene las instrucciones para añadir el comando Format C: en el Autoexec.bat, aunque puede fallar, y presenta una ventana con el siguiente mensaje: I promise We WiLL Rule The World Again...By The Way , You Are Captured By ZaCker !!! , e intenta cerrar Windows, sin éxito.
Para su eliminación proponemos la herramienta ELIVOTE.EXE (disponible en la sección de utilidades de nuestra web www.satinfo.es ), que hemos realizado a tal efecto, que eliminará los valores de las claves de registro de sistema afectadas por el virus, quitará el añadido FORMAT C: del Autoexec.bat si lo hubiere, borrará los ficheros gusano VBS creados por el virus y el fichero EXE copia del adjunto en el e-mail, y borrará los ficheros HTM y HTML sobreescritos por el virus, con el texto arriba indicado, para lo cual se deberá indicar la unidad a procesar. Esta herramienta sirve para las dos versiones del virus, A y B, y puede servir también para comprobar su existencia, y en su caso, eliminarlo.
VIRUSCAN SPAIN SERVICE 28-9-2001
