ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Vote

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este gusano se propaga como un archivo adjunto a los mensajes infectados. Cuando se ejecuta, el gusano envía mensajes infectados a todas las direcciones almacenadas en la libreta de direcciones de MS Outlook, luego sobrescribe todos los archivos HTML en las unidades de disco locales. Cuando se inicia Windows nuevamente, el gusano intenta eliminar todos los archivos en la carpeta de Windows y reinicia el equipo de la víctima.

El gusano llega como un archivo adjunto ejecutable. El archivo adjunto contiene el gusano en sí. Los mensajes infectados contienen lo siguiente:

El gusano solo se activa si el usuario lo inicia manualmente haciendo doble clic en el archivo adjunto.

Cuando se ejecuta, el gusano envía mensajes infectados a todas las direcciones almacenadas en la libreta de direcciones de Outlook. Luego intenta abrir dos navegadores de Internet en sitios que ahora se han cerrado. Además, reemplaza la página de inicio de Internet Explorer con una propia. Después de esto, el gusano suelta dos archivos VBS diferentes.

El primero se llama "MixDaLaL.vbs" que el gusano crea y ejecuta inmediatamente en la carpeta de Windows. Este archivo tiene un programa de script que busca archivos con extensiones HTM y HTML en todos los discos duros removibles y locales, y los sobrescribe con un texto corto:

AmeRiCa … ¡Pocos días le mostraremos lo que podemos hacer! Es nuestro turno >>> ZaCkEr lo siente por ti

El segundo archivo VSB que el gusano coloca en la carpeta del sistema de Windows con el nombre, "ZaCker.vbs", y lo registra en la sección de registro de ejecución automática. Esto significa que el archivo se ejecutará automáticamente en la próxima puesta en marcha de Windows. Al ejecutarse, intenta eliminar todos los archivos en el directorio de Windows, sobrescribe AUTOEXEC.BAT con un comando que destruye todos los datos en la unidad C :, y luego muestra el siguiente mensaje:

El gusano finalmente reinicia la computadora. Como resultado, el sistema puede quedar inactivo o todos los datos pueden destruirse.


Enlace al original