Sábado 21 de Diciembre de 2024, 15:23
SoloCodigo
Bienvenido(a),
Visitante
. Por favor,
ingresa
o
regístrate
.
¿Perdiste tu
email de activación?
Inicio
Foros
Chat
Ayuda
Buscar
Ingresar
Registrarse
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Tilebot.bg
« anterior
próximo »
Imprimir
Páginas: [
1
]
Autor
Tema: Tilebot.bg (Leído 1193 veces)
RadicalEd
Moderador
Mensajes: 2430
Nacionalidad:
Tilebot.bg
«
en:
Viernes 18 de Noviembre de 2005, 18:03 »
0
Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:17-11-2005
Última Actualización:17-11-2005
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Tilebot.BG@LSASS
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [LSASS] - Gusano que se difundiende aprovechando la vulnerabilidad de LSASS (MS04-011) que afecta a Windows 2000 y XP.
Alias:W32/Tilebot-BG (Sophos), Backdoor.Win32.Agobot.afk (Kaspersky (viruslist.com))
Detalles
Al ejecutarse por primera vez, Tilebot-BG se traslada a [Window]\MSmedia.exe y crea el archivo [System]\rdiv.sys.
El archivo rdriv.sys es un "rootkit"
El archivo MSmedia.exe se registra como un nuevo controlador de servicio con el nombre "MicroSoft Media Tools", y mostrará el nombre "MicroSoft Media Tools" y se iniciará de forma automática al inicio del sistema. Las entradas en el registro se crearán en:
HKLM\SYSTEM\CurrentControlSet\Services\MicroSoft Media Tools
El archivo rdiv.sys es registrado como un nuevo controlador de servicio con el nombre "rdiv", y mostrará el nombre "rdiv". Las entradas en el registro se crearán en:
HKLM\SYSTEM\CurrentControlSet\Services\rdiv\
Tilebot.BG crea las siguientes entradas en el registro y desactiva así el inicio automático de otros programas:
HKLM\SYSTEM\CurrentControlSet\Services\Messenger
Start = 4
HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
Start = 4
HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr Start = 4
También creará las siguentes entradas en el registro:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
DoNotAllowXPSP2 = 1
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM = N
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = 1
Es posible que las siguientes entradas del registro sean modificadas:
HKLM\SOFTWARE\Microsoft\Security Center\
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\
Tweet
El pasado son solo recuerdos, el futuro son solo sueños
Imprimir
Páginas: [
1
]
« anterior
próximo »
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Tilebot.bg