SoloCodigo
Informática en general => Seguridad y Criptografía => Virus => Mensaje iniciado por: RadicalEd en Viernes 18 de Noviembre de 2005, 18:03
-
Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:17-11-2005
Última Actualización:17-11-2005
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Tilebot.BG@LSASS
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [LSASS] - Gusano que se difundiende aprovechando la vulnerabilidad de LSASS (MS04-011) que afecta a Windows 2000 y XP.
Alias:W32/Tilebot-BG (Sophos), Backdoor.Win32.Agobot.afk (Kaspersky (viruslist.com))
Detalles
Al ejecutarse por primera vez, Tilebot-BG se traslada a [Window]\MSmedia.exe y crea el archivo [System]\rdiv.sys.
El archivo rdriv.sys es un "rootkit"
El archivo MSmedia.exe se registra como un nuevo controlador de servicio con el nombre "MicroSoft Media Tools", y mostrará el nombre "MicroSoft Media Tools" y se iniciará de forma automática al inicio del sistema. Las entradas en el registro se crearán en:
HKLM\SYSTEM\CurrentControlSet\Services\MicroSoft Media Tools
El archivo rdiv.sys es registrado como un nuevo controlador de servicio con el nombre "rdiv", y mostrará el nombre "rdiv". Las entradas en el registro se crearán en:
HKLM\SYSTEM\CurrentControlSet\Services\rdiv\
Tilebot.BG crea las siguientes entradas en el registro y desactiva así el inicio automático de otros programas:
HKLM\SYSTEM\CurrentControlSet\Services\Messenger
Start = 4
HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
Start = 4
HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr Start = 4
También creará las siguentes entradas en el registro:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
DoNotAllowXPSP2 = 1
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM = N
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = 1
Es posible que las siguientes entradas del registro sean modificadas:
HKLM\SOFTWARE\Microsoft\Security Center\
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\