14/12/2017 W32/Vote.E. Borra archivos con extensin .EXE y .

SCR

Esta pgina es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

W32/Vote.E. Borra archivos con extensin .EXE y .SCR

W32/Vote.E. Borra archivos con extensin .EXE y .SCR

Busque su tema: http://www.vsantivirus.com/vote-e.htm

OK Nombre: W32/Vote.E
Tipo: Gusano de Internet
VSantivirus Internet Alias: W32.Vote.E@mm
Proporcionado por FreeFind
Fecha: 20/may/03
Plataforma: Windows 32-bit
Video Soft BBS Tamao: 118,784 bytes

Men Principal Este gusano se enva en forma masiva utilizando el Microsoft Outlook y Outlook
Anti Trojans Express. Los destinatarios son todos los contactos de la libreta de direcciones de
Antivirus dichos programas.
Hoaxes
Subscripciones Est escrito en Microsoft Visual Basic y requiere las libreras correspondientes para
Otro software funcionar.
Artculos
Links Cuando se ejecuta, tambin intentar sobrescribir y borrar numerosos archivos del
Sugerencias sistema infectado. En caso de que ello suceda, la recuperacin deber hacerse desde
Sobre el BBS un respaldo completo limpio, o reinstalando Windows.
Direcciones
Galera El mensaje, con dos adjuntos, presenta estas caractersticas:
Chat
Asunto: [nombre destinatario], [mensaje al azar]

Controlado desde el Datos adjuntos: USA.VS.IRAQ.scr, Plug-In_EXT.dll

19/10/97 por NedStat
Texto:
[nombre destinatario], THE WAR IS NOT A JOKE !...
THERE IS ONE BUILDING UP RIGHT NOW. Let's Unite In This Horrible
Kaos. ... Fight With Us....!!! ...And Let Us Remember Those Lost Souls !
WE COUNT ON YOU !
Greetings,
World War Veterans.
PS- See Attachments For War Info.

Donde [nombre destinatario] es lo que est antes de la arroba en la primera parte de

la direccin de correo de la vctima a la que se manda el mensaje. De esta forma, el
mensaje parece estar personalizado.

Cuando el supuesto protector de pantalla (.SCR) es ejecutado, el gusano se copia en

la carpeta Windows:

C:\Windows\WTC32.scr
C:\Windows\Notepad.exe
C:\Autorun.com

El archivo Notepad.exe sobrescribe al verdadero bloc de notas de Windows.

Cambia los siguientes valores en el registro de Windows:

HKLM\Software\Microsoft\Windows NT\CurrentVersion
RegisteredOwner = YOU ARE A VICTIM OF THE
RegisteredOrganization = WORLD TRADE CENTER
ProductName = WtC-WoRm-LaMeR

Agrega los siguientes valores para autoejecutarse al reiniciarse Windows, y para

cambiar la pgina de inicio del Internet Explorer:

http://www.vsantivirus.com/vote-e.htm 1/5
14/12/2017 W32/Vote.E. Borra archivos con extensin .EXE y .SCR

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
W32Tc = c:\windows\WTC32.scr

HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = c:\windows\WTC32.scr

Luego, el gusano busca en la computadora infectada archivos con las siguientes

extensiones:

.exe
.scr

Todo archivo encontrado es suplantado por su propio cdigo. Esto har que la mayora
de los programas, incluido Windows, dejen de funcionar correctamente.

Luego se autoenva a todos los contactos de la libreta de direcciones de Windows

(.WAB), en mensajes como el ya visto.

Agrega el siguiente valor al registro, como marca de envo (no vuelve a enviarse):

HKCU\Software\Microsoft\Windows\CurrentVersion
WtcSnd = 1

El gusano tambin crea mltiples copias de si mismo en las siguientes carpetas:

C:\Windows\System32
C:\Windows

Los nombres tienen el siguiente formato:

BkUp#####.exe

Donde los signos ##### representan 5 dgitos al azar.

Crea un script para el programa mIRC, y lo usa para propagarse por los canales de
chat.

C:\Program Files\mIRC\Script.ini

Si el mIRC no est instalado, o lo est en otra ubicacin, esto no funciona

adecuadamente.

Reparacin manual

Antivirus

1. Actualice sus antivirus con las ltimas definiciones

2. Ejectelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados

Nota: Los archivos sobrescritos debern ser reinstalados o copiados de un respaldo

anterior. Sin embargo, es muy posible se deba reinstalar todo el sistema operativo.
Sugerimos que se llame a un servicio tcnico especializado para realizar estas tareas
si no desea arriesgarse a perder informacin valiosa de su computadora.

Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\Windows\WTC32.scr
C:\Windows\Notepad.exe
C:\Autorun.com

Pinche con el botn derecho sobre el icono de la "Papelera de reciclaje" en el

escritorio, y seleccione "Vaciar la papelera de reciclaje".

http://www.vsantivirus.com/vote-e.htm 2/5
14/12/2017 W32/Vote.E. Borra archivos con extensin .EXE y .SCR

Borre tambin los mensajes electrnicos similares al descripto antes.

Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre",

busque y borre la siguiente entrada:

W32Tc

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows NT
\CurrentVersion

5. Pinche en la carpeta "CurrentVersion" y en el panel de la derecha, cambie los

siguientes valores:

RegisteredOwner = YOU ARE A VICTIM OF THE

RegisteredOrganization = WORLD TRADE CENTER
ProductName = WtC-WoRm-LaMeR

Por los suyos:

RegisteredOwner = [su nombre]

RegisteredOrganization = [vaco]
ProductName = [versin de Windows, por ej: Windows 98]

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Internet Explorer
\Main

7. Pinche en la carpeta "Main" y en el panel de la derecha, bajo la columna "Nombre",

busque la siguiente entrada:

Start Page

8. Pinche en "Start Page" y modifique el valor "c:\windows\system32\news.htm" por el

valor "about:blank".

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Cmo recuperar NOTEPAD.EXE

En Windows 98:

1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.

2. Marque "Extraer un archivo del disco de instalacin"

http://www.vsantivirus.com/vote-e.htm 3/5
14/12/2017 W32/Vote.E. Borra archivos con extensin .EXE y .SCR

3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el

nombre del archivo a restaurar:

NOTEPAD.EXE

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalacin de

Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo
contrario busque su ubicacin en el disco duro, donde se suelen copiar antes de una
instalacin).

6. En "Guardar archivo en" asegrese de tener "C:\WINDOWS" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si

no existe, tal vez se genere ahora esta carpeta, generalmente:
"C:\WINDOWS\Helpdesk\SFC").

En Windows Me:

1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.

2. Pinche en el botn "Extraer archivo"

3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del
archivo a restaurar:

NOTEPAD.EXE

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalacin de

Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo
contrario busque su ubicacin en el disco duro, donde se suelen copiar antes de una
instalacin).

6. En "Guardar archivo en" asegrese de tener "C:\WINDOWS" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si

no existe, tal vez se genere ahora esta carpeta, generalmente:
"C:\WINDOWS\MSConfigs\Backups").

Informacin adicional

El IRC y los virus

Se recomienda precaucin al recibir archivos a travs de los canales de IRC. Slo

acepte archivos que usted ha pedido, pero an as, jams los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.

Jams acepte archivos SCRIPT a travs del IRC. Pueden generar respuestas
automticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuracin, funciones como

"send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la
configuracin de "DCC" para transferencia de archivos, seleccinelo para que se le
pregunte siempre o para que directamente se ignoren los pedidos de envo o
recepcin de stos.

Vea tambin:

Los virus y el IRC (por Ignacio M. Sbampato)

http://www.vsantivirus.com/sbam-virus-irc.htm
http://www.vsantivirus.com/vote-e.htm 4/5
14/12/2017 W32/Vote.E. Borra archivos con extensin .EXE y .SCR

Cambiar la pgina de inicio del Internet Explorer

Cambie la pgina de inicio del Internet Explorer desde Herramientas, Opciones de

Internet, General, Pgina de inicio, por una de su preferencia. O navegue hacia una
pgina de su agrado, pinche en Herramientas, Opciones de Internet, General, y
finalmente pinche en "Usar actual".

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y adems visualizar
aquellos con atributos de "Oculto", proceda as:

1. Ejecute el Explorador de Windows

2. Seleccione el men 'Ver' (Windows 95/98/NT) o el men 'Herramientas' (Windows

Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengeta 'Ver'.

4. DESMARQUE la opcin "Ocultar extensiones para los tipos de archivos conocidos"

o similar.

5. En Windows 95/NT, MARQUE la opcin "Mostrar todos los archivos y carpetas

ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos

los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del
sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.

Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar

correctamente este virus de su computadora, deber deshabilitar antes de cualquier
accin, la herramienta "Restaurar sistema" como se indica en estos artculos:

Limpieza de virus en Windows Me

http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

http://www.vsantivirus.com/faq-winxp.htm

(c) Video Soft - http://www.videosoft.net.uy

(c) VSAntivirus - http://www.vsantivirus.com

Copyright 1996-2003 Video Soft BBS

http://www.vsantivirus.com/vote-e.htm 5/5