|
Es el primer virus alusivo a los criminales ataques del 11 de Septiembre a los Estados Unidos. Se propaga masivamente a través de mensajes de correo con un archivo anexado de nombre WTC.EXE, cuyas siglas corresponden al World Trade Center.
Este gusano al igual que su predecesor MTX, tiene tres payloads destructivos, fue reportado el 25 de Septiembre del 2001 e infecta todos los sistemas operativos Microsoft Windows 95/98/NT/2000/Me/XP.
Esta desarrollado en MS Visual Basic 5.0, tiene una extensión de 55808 bytes, sin ningún tipo de compresión y para auto-copiarse e infectar requiere que la librería MSVBVM50.DLL se encuentre presente en el sistema. Muchas aplicaciones y utilitarios al ser instalados en un equipo, copian automáticamente esta librería a sus sistemas operativos.
El primer payload de Vote.A consiste en tomar el control de las funciones de las librerías MAPI (Messaging Application Programming Interface), desde el sistema infectado, para poder auto-enviarse masivamente a todos los buzones de la libreta de direcciones de MS Outlook y Outlook Express. Con esto pretende saturar los servidores de correo.
| Hola |
| Es una guerra en contra de América o el Islam!? |
| Votemos por vivir en Paz! |
Si el usuario que recibe el mensaje, abre el anexado WTC.EXE, se produce el segundo payload que permite a este gusano, generar los 2 siguientes archivos:
ZaCker.vbs que se crea en la carpeta C:\WINDOWS y que una vez ejecutado, borra todos los archivos de este directorio y reemplaza el AUTOEXEC.BAT con otro comando del mismo nombre. La próxima vez que se inicie el sistema este Visual Basic Script formateará la unidad C:, al mismo tiempo que mostrará esta caja de diálogo:
MixDaLal.vbs que se crea en la carpeta C:\Windows\System y genera a su vez una llave en el registro de Windows, para que se ejecute cada vez que se inicie el sistema, y cuya función principal es verificar la presencia de varios antivirus, los cuales borra al ser encontrados en el equipo infectado. Los antivirus consignados son:
C:\Program Files\AntiViral Toolkit Pro\*.*
C:\eSafe\Protect\*.*
C:\Program Files\Command Software\F-PROT95\*.*
C:\PC-Cillin 95\*.*
C:\PC-Cillin 97\*.*
C:\Program Files\Quick Heal\*.*
C:\Program Files\FWIN32\*.*
C:\Program Files\FindVirus\*.*
C:\Toolkit\FindVirus\*.*
C:\f-macro\*.*
C:\Program Files\McAfee\VirusScan\*.*
C:\Program Files\Norton AntiVirus\*.*
C:\TBAVW95\*.*
C:\VS95\*.*
MixDaLal.vbs buscará en todas las unidades lógicas los archivos con extensión .HTM y .HTML, sobre-escribiéndolos con el texto:
| "AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>> |
| ZaCkEr is So Sorry For You" |
| "AmeRiCa ...En pocos Dias les Mostraremos lo Que Podemos Hacer !!! Es Nuestro Turno >>> |
| ZaCkEr lo siente mucho por Ustedes" |
Su tercer payload consiste en configurar la página de inicio de MS Internet Explorer para que re-direccione a un servidor Web de Yahoo, desde el cual descargará un archivo llamado TimeUpdate.EXE que actúa como "backdoor" ya que ingresa por puntos vulnerables del sistema, más conocidos como "holes" o "puertas falsas", para de allí poder tomar control, en forma remota, de las estaciones de trabajo en función de sus correspondientes direcciones IP.
Actualmente el URL mencionado ha sido deshabilitado.
PER ANTIVIRUS® versión 7.1, registro de virus al 25 de Septiembre del 2001, detecta y elimina eficientemente este virus.
