Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm.W32/Vote.K@MM

Alias:
W32.Vote.K@mm (Symantec), Bloodhound.W32.VBWORM (Symantec), WORM_VOTE.K (Trend Micro)

Descripción:
Gusano emisor masivo que reescribe numerosos ficheros de la máquina infectada. UItiliza Microsoft Outlook para enviarse a sí mismo a todos los contactos de la libreta de direcciones de Outlook.

El mensaje enviado tiene las siguientes características:
ASUNTO: THE WAR HAS STARTED !
ADJUNTO: WTC32.scr

También intenta propagarse a través de las redes de compartición de ficheros como KaZaA. Además intentará reescribir ficheros de los tipos .com, .exe, .scr, .bmp, .jpg, .mp3, .mpg, .rar, .wav, y .zip con una copia de su propio código.

Durante su ejecución mostrará un mensaje titulado "WORLD TRADE CENTER.".

Está escrito en lenguaje Microsoft Visual Basic.

NOTA: Definiciones anteriores de este gusano responden al nombre Bloodhound.W32.VBWORM.

Detalles:
Cuando el fichero adjunto es ejecutado, realiza las siguientes tareas:

  • Muestra un mensaje titulado "WORLD TRADE CENTER." con un contenido a modo de recuerdo sobre las víctimas de la catástrofe del 11S de 2001.

     

  • Muestra otro mensaje cuyo título será (VICTIM # ***), donde (***) es un número aleatorio, y el contenido será elegido de una lista que transporta el propio gusano.

     

  • Intentará copiarse a sí mismo con los siguientes nombres de fichero:

       

    • C:\Windows\notepad.exe
    • C:\Windows\WTC32.scr
    • C:\Autorun.com
    • C:\NT-Help.com
    • C:\Op_Me.co_
    • C:\Documents and Settings\All Users\Desktop\Welcome.scr

     

  • Crea los siguientes ficheros:

       

    • C:\Microsoft NT Help.html, 149 bytes.
    • C:\Autostart.bat, 2146 bytes.
    • C:\Autorun.bat, 2146 bytes.
    • C:\WTC.txt, que contiene la cadena, "You Are A Victim Of The WTC Worm !"
    • C:\WTC32.dll, que contiene la cadena, "Users In Harmony With God !"

     

  • Crea la carpeta C:\suPs, y copia el fichero C:\Autostart.bat como yyybp.bat en la misma carpeta.

     

  • Reescribirá todos los ficheros de los tipos .com, .exe, y .scr que encuentre en todas las unidades y directorios excepto en las que se encuentre él mismo o algunas de sus copias.

     

  • Reescribirá todos los ficheros de los tipos .bmp, .jpg, .mp3, .mpg, .rar, .wav, y .zip que encuentre en todas las unidades y directorios excepto en las que se encuentre él mismo o algunas de sus copias. También añadirá una segunda extensión (.exe) a estos mismo ficheros.

     

  • Reescribirá los ficheros de los tipos .htm, .html, y .htt, con el contenido del fichero C:\Microsoft NT Help.html.

     

  • Reescribirá los ficheros de los tipos .ai, .doc, .pif, .psd, .rtf, y .txt con el contenido del fichero C:\Microsoft NT Help.html, y les añadirá .htm como segunda extensión.

     

  • Reescribirá los ficheros .bat con el contenido del fichero Autostart.bat.

     

  • Copiará el fichero Autostart.bat como:

       

    • C:\Windows\Start Menu\Programs\StartUp\cniad.bat
    • C:\Documents and Settings\All Users\Start Menu\Programs\Start up\NTFS.bat

     

  • Reescribirá el fichero Win.ini.

     

  • Reescribirá el fichero System.ini con el siguiente texto: 
    [boot]
shell=explorer.exe C:\Windows\pbbgt.bat
  • Intentará borrar los siguientes ficheros:

       

    • C:\Windows\System32\*.dll
    • C:\Windows\System32\*.ocx
    • C:\Windows\*.sys
    • C:\*.*

     

  • Añadirá el siguiente valor al registro indicado: 
    "W32Tc"="C:\Windows\WTC32.scr"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

     

  • Modificará los siguientes valores en el registro indicado: 
    "RegisteredOwner"="YOU ARE A VICTIM OF THE" 
"RegisteredOrganization"="WORLD TRADE CENTER" 
"ProductName"="w32.hllw.I-Worm.WTC.03"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

     

  • Modificará el valor siguiente en el registro indicado: 
    "Start Page"="c:\Windows\WTC32.scr"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main

     

  • Añade el siguiente valor al registro indicado: 
    "WtcSnd"=1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

     

  • Crea la carpeta C:\Windows\Systm32, e intenta copiarse a sí mismo en ella con los siguientes nombres:

       

    • C:\Windows\Systm32\18_Britney_Sucking_Sex_
    • C:\Windows\Systm32\Teen_P**sy_Hardcore_Sex_
    • C:\Windows\Systm32\XXX_Christina_Celebrities_Pamela_Sex_Screensaver_
    • C:\Windows\Systm32\XXX_Teens_Hot_Gauge_Aria_Jennifer_Sex_Screensaver_
    • C:\Windows\Systm32\F**king_Hot_Horny_Screensaver_|
    • C:\Windows\Systm32\Orgy_Incest_Illegal_Sex_

      y una de las siguientes extensiones:

       

    • .jpg.scr
    • .mpg.scr
    • .avi.scr

     

  • Crea el fichero Pict232.reg, que utilizará para añadir los siguientes valores al registro indicado: 
    "DisableSharing"="0" 
"DownloadDir"="C:\Program Files\KaZaA\My Shared Folder" 
"Dir0"="012345:C:\Windows\Systm32" 
"Dir1"="012345:C:\"

HKEY_CURRENT_USER\Software\Kazaa\LocalContent

     

  • Utilizará Microsoft Outlook para enviarse a sí mismo a todos los contactos de la libreta de direcciones de Outlook.

    El correo enviado tendrá las siguientes características:

    Asunto: THE WAR HAS STARTED !
    Mensaje: 

    (Bandeja), THE WAR IS NOT A JOKE !... THERE IS ONE BUILDING UP RIGHT NOW
Let's Unite In This Horrible Kaos. ... Fight For Us....!!!
...And Let Us Remember Those Lost Souls ! WE COUNT ON YOU ! 
Greetings,
World War Veterans.
    Adjunto: WTC32.scr

     

  • Crea un script mIRC como C:\Program Files\mIRC\Script.ini, que utilizará para expandirse vía mIRC.

Solución:

  • Uso de antivirus actualizado.

Más información acerca de este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados