I-worm.Vote-B, Win32/Vote.B@mm

Es el segundo virus alusivo a los criminales ataques del 11 de Septiembre a los Estados Unidos, muy similar a su predecesor Vote. Se propaga masivamente a través de mensajes de correo con un archivo anexado de nombre ANTI_TERRORISM.EXE. 

Este gusano también tiene tres payloads destructivos y fue reportado el 27 de Septiembre del 2001. Al igual que su primera versión infecta todos los sistemas operativos Microsoft Windows 95/98/NT/2000/Me/XP. 

Esta desarrollado en MS Visual Basic 5.0, tiene una extensión de 56832 bytes, sin ningún tipo de compresión y para auto-copiarse e infectar requiere que la librería MSVBVM50.DLL se encuentre presente en el sistema. Muchas aplicaciones y utilitarios al ser instalados en un equipo, copian automáticamente esta librería a sus sistemas operativos.

Cuando el usuario ejecuta este archivo, el gusano se activa, abriendo una ventana del Explorador que muestra un pantalla con letras grandes en colores azul y rojo con el texto: 

AmeRiCa... YouR Last Day Is Cumin Soon!

América... tu último dia se acerca !

Simultáneamente agrega las etiquetas <HTML y </HTML> a la página de Inicio de Internet Explorer y agrega el texto:

I SwEar, We WiLL Rule This World SooN !!!
Yo juro, que gobernaremos pronto este mundo !!

El propósito del cambio de la página de Inicio de IE5, es conectarse al sitio de Yahoo http://us.f1.yahoofs.com, para descargar y ejecutar el troyano TimeUpdate.exe, que es un "password stealer" (ladrón de claves de acceso).

El primer payload de Vote.A consiste en tomar el control de las funciones de las librerías MAPI (Messaging Application Programming Interface), desde el sistema infectado, para poder auto-enviarse masivamente a todos los buzones de la libreta de direcciones de MS Outlook y Outlook Express, con su archivo anexado. Con esto pretende saturar los servidores de correo.

Su segundo payload es conectarse al URL de Yahoo, que ya fué deshabilitado.

Finalmente, su tercer payload, creará los Visual Basic Scripts destructivos: MixDaLaL.vbs, WaiL.vbs y DaLaL.vbs en las carpetas Windows y Windows\System (\Winnt y \Winnt\System32):

C:\Windows\MixDaLaL.vbs 
C:\Windows\System\WaiL.vbs 
C:\Windows\System\DaLaL.vbs

1. Efectos del DaLaL.vbs

Este archivo, idéntico al del gusano Vote.A, es generado en \Windows\System y requiere la presencia del Windows Scripting Host (WSH) para ejecutarse.

El gusano se encarga de invocarlo y al hacerlo, el script examina todas las carpetas y todas las unidades de disco y de red, en busca de archivos con las extensiones .HTM y .HTML. Los archivos que coincidan con esta búsqueda, serán sobrescritos con un determinado texto, perdiéndose su contenido original: 

Todos estos archivos son escondidos con los atributos de "ocultos" (+H).

2. Efectos del DaLaL.vbs

Este archivo, que es una copia del ZaCker.vbs del gusano Vote.A, es insertado en C:\Windows\System\ y crea una clave en el registro para asegurarse de que el script sea ejecutado en cada reinicio del sistema.

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
ZaCker = C:\Windows\System\DaLaL.vbs

Cuando este script se activa, se producen estos efectos:

Se modificará o creará un nuevo contenido en el archivo C:\AUTOEXEC.BAT, con las instrucciones para formatear el disco duro. Esta acción que se cumplirá en el siguiente reinicio del sistema.

También se creará esta nueva clave en el registro que hará que el archivo Wail.vbs se ejecute en el próximo reinicio de Windows:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
ALWaiL = C:\Windows\System\WaiL.vbs

Finalmente, el script muestra el siguiente mensaje:

Después de mostrar este mensaje, el gusano reiniciará el sistema, ejecutando el AUTOEXEC.BAT, únicamente en Windows 95/98 y Millennium, y procederá a formatear la unidad C:

Acciones de WaiL.vbs

Si la unidad C: no es reformateada luego de la ejecución del script DaLaL.vbs, entonces WaiL.vbs será ejecutado. Este script borrará todos los archivos de la carpeta C:\WINDOWS. Una vez finalizada su acción destructiva mostrará el siguiente mensaje: