• Sábado 16 de Noviembre de 2024, 22:22

Autor Tema:  Tilebot.bg  (Leído 1184 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Tilebot.bg
« en: Viernes 18 de Noviembre de 2005, 18:03 »
0
Peligrosidad: 3 - Media  
Difusión: Baja
Fecha de Alta:17-11-2005
Última Actualización:17-11-2005
Daño:  Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Tilebot.BG@LSASS    
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [LSASS] - Gusano que se difundiende aprovechando la vulnerabilidad de LSASS (MS04-011) que afecta a Windows 2000 y XP.
Alias:W32/Tilebot-BG (Sophos), Backdoor.Win32.Agobot.afk (Kaspersky (viruslist.com))
Detalles
Al ejecutarse por primera vez, Tilebot-BG se traslada a [Window]\MSmedia.exe y crea el archivo [System]\rdiv.sys.

El archivo rdriv.sys es un "rootkit"

El archivo MSmedia.exe se registra como un nuevo controlador de servicio con el nombre "MicroSoft Media Tools", y mostrará el nombre "MicroSoft Media Tools" y se iniciará de forma automática al inicio del sistema. Las entradas en el registro se crearán en:

HKLM\SYSTEM\CurrentControlSet\Services\MicroSoft Media Tools

El archivo rdiv.sys es registrado como un nuevo controlador de servicio con el nombre "rdiv", y mostrará el nombre "rdiv". Las entradas en el registro se crearán en:

HKLM\SYSTEM\CurrentControlSet\Services\rdiv\

Tilebot.BG crea las siguientes entradas en el registro y desactiva así el inicio automático de otros programas:
HKLM\SYSTEM\CurrentControlSet\Services\Messenger
Start = 4

HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
Start = 4

HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr Start = 4

También creará las siguentes entradas en el registro:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
DoNotAllowXPSP2 = 1

HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM = N

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = 1

Es posible que las siguientes entradas del registro sean modificadas:

HKLM\SOFTWARE\Microsoft\Security Center\

HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\

HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\

 
El pasado son solo recuerdos, el futuro son solo sueños