Autor Tema: Tilebot.a (Leído 1130 veces)

RadicalEd · « **en:** Miércoles 31 de Agosto de 2005, 17:53 »

Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta: 31-08-2005
Última Actualización:31-08-2005
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto

Nombre completo: Worm-Backdoor.W32/Tilebot.A
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 64000
Alias:WORM_TILEBOT.A (Trend Micro)
Detalles
Instalación

Tras la ejecución, el gusano descarga copias de si mismo en la carpeta de Windows con los siguientes nombres:

NETINFO.EXE
ORAN.SYS
Se registra como servicio añadiendo la siguiente entradas en las subclaves indicadas:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netinfo
ImagePath = ?%Windows%\netinfo.exe?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netinfo
DisplayName = "netinfo"

También añade la siguiente entrada para registrar como servicio al fichero ORAN.sys:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\orans
ImagePath = ?%System%\orans.sys?

También desactiva multiples funciones de windows creando entradas de registro o modificando el contenido de otras, que cambiarán la configuración establecida por el usuario. Son las siguientes;

Para desactivar funciones de Antivirus y firewall en Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security
Center AntiVirusDisableNotify = "dword:00000001"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security
Center FirewallDisableNotify = "dword:00000001"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security
Center Anti VirusOverride = "dword:00000001"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
FirewallOverride = "dword:00000001"

Nota: El valor por defecto de todas las variables indicadas deberá ser "dword:00000000".
Para desactivar las funciones de Actualización automática de Windows;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
UpdatesDisableNotify = "dword:00000001"

Nota: El valor por defecto de todas las variables indicadas deberá ser "dword:00000000".
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update
AUOption = "dword:00000001"

Nota: El valor por defecto de todas las variables indicadas deberá ser "dword:00000000".
Para desactivar el firewall del perfil de dominio;

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile
EnableFirewall = "dword:00000000"

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\StandardProfile
EnableFirewall = "dword:00000000"

Nota: El valor por defecto de la variables indicada es establecido por el usuario.
Para deshabilitar funciones de Windows Update para XP SP2;

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
DoNotAllowXPSP2 = "dword:00000001"

Nota: El valor por defecto de la variable indicada deberá ser "dword:00000000".
Para desactivar el centro de seguridad;

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wscsvc
Start = "dword:00000004"

Nota: El valor por defecto de la variable indicada deberá ser "dword:00000002".
También realiza modificaciones en las siguientes subclaves

HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
EnableDCOM = "N"

Nota: El valor por defecto de la variable indicada deberá ser EnableDCOM = "Y".
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
RestrictAnonymous = "dword:00000001"

Propagación en red y uso de Vulnerabilidades

El gusano buscará a través de la red los siguientes recursos:

ADMIN$
ADMIN$\system32
C$\Windows\system32
C$\WINNT\system32
D$\Windows\system32
D$\WINNT\system32
IPC$

Intentará copiarse en aquellos que no tengan establecidos controles de acceso, mientras que los que posean restricciones le impedirán hacerlo.

Intentará iniciar una sesión en el sistema probando combinaciones de usuario y clave que el propio gusano transporta entre su código para ejecutarse a sí mismo y proseguir sus actividades de propagación.

Capacidades de puerta trasera

Puede abrir un puerto TCP aleatório para conectar a canales de charla de ciertos servidores IRC desde los que esperará la recepción de nuevos comandos del atacante, que le permitirán realizar tareas como las siguientes:

Añadir o eliminar recursos compartidos a la red.
Activar la cámara web y capturar imágenes.
Activar o desactivar el servicio DCOM
Ejecutar sesiones remotas
Capturar claves almacenadas en la memoria caché del sistema
Capturar datos almacenados en el portapapeles.
Listar los procesos activos en el sistema
Realizar ataques de distribuidos de denegación de servicio (DDoS)
Realizar operaciones IRC, FTP y HTTP
Redireccionar puertos
Escanear otros sistemas en busca de vulnerabilidades.
Enviar mensajes de correo utilizando su propio motor SMTP
Iniciar la ejecución de un programa Sniffer, para monitorización de trafico de red y de programas para capatura de las pulsaciones del teclado.
Iniciar o terminar procesos
Capturar Información del sistema
Toda la info obtenida será enviada al atacante, a la que se añadirá:

Tipo de conexión
Velocidad de la CPU
Nombre del usuario activo
Fecha y hora
Espacio disponible en los discos
Nombre de la máquina
Dirección Ip
Tamaño de la memoria
Sistema operativo
Ruta del directorio del sistema
Lista de procesos
El gusano es capaz de detener la ejecución y eliminar las entradas de registro relativas a otros códigos malignos:

bbeagle.exe
d3dupdate.exe
i11r54n4.exe
irun4.exe
MSBLAST.exe
mscvb32.exe
PandaAVEngine.exe
Penis32.exe
rate.exe
ssate.exe
sysinfo.exe
taskmon.exe
teekids.exe
winsys.exe
También eliminará cualquiera de los siguientes valores de la subclave:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Bagle.a
Bagle.j
Bagle.k
Bagle.v
Bagle.X
Microsoft Inet Xp..
Mydoom.h
Netsky.r
PandaAVEngine
Sobig.c
System MScvb
TaskMon
W32.Blaster
W32.Blaster.B
W32.Blaster.C

SoloCodigo

Autor Tema: Tilebot.a (Leído 1130 veces)

RadicalEd

Tilebot.a