• Jueves 14 de Noviembre de 2024, 04:41

Autor Tema:  Tilebot.fr  (Leído 1664 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Tilebot.fr
« en: Jueves 6 de Julio de 2006, 16:48 »
0
Peligrosidad: 3 - Media     
Difusión: Baja   
Fecha de Alta:05-07-2006
Última Actualización:05-07-2006
Daño: Alto
[Explicación de los criterios]   
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Tilebot.FR    
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:W32/Tilebot.FR (PerAntivirus)
Detalles

Crea claves de registro que al ser ejecutadas desestabilizan la seguridad de los sistemas operativos y deshabilitando importantes servicios.

Una vez ejecutado se copia al directorio %Windir% con el nombre de Winlogon.exe y se registra como un servicio de driver del sistema denominado "Windows Spooler Service", cuyo nombre muestra en pantalla cada vez que se inicie el sistema controlando la clave de registro:

[HKLM\SYSTEM\CurrentControlSet\Services\Windows Spooler Service]

Nota:%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Para impedir la ejecución automática al inicio del sistema de otros programas el gusano agrega estas entradas:

[HKEY_LOCAL_MACHINE\CurrentControlSet\Services\Messenger]
Start = 4
[HKEY_LOCAL_MACHINE\CurrentControlSet\Services\RemoteRegistry]
Start = 4
[HKEY_LOCAL_MACHINE\CurrentControlSet\Services\TlntSvr]
Start = 4

para impedir la actualizaciones de MS Windows XP SP2 crea la entrada:

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
DoNotAllowXPSP2 = 1

para deshabilitar el DCOM crea la sub-clave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Ole]
EnableDCOM = N

para permitir el ingreso de usuarios anónimos crea la sub-clave:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
restrictanonymous = 1

Para desestabilizar la seguridad del sistema crea los siguientes registros:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center]
[HKEY_LOCAL_MACHINE\Policies\Microsoft\WindowsFirewall\DomainProfile]
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\StandardProfile]

Al siguiente re-inicio el gusano finaliza los procesos en ejecución de la mayoría de antivirus y software de control que estuviesen instalados.

Luego rastrea aleatoriamente direcciones de redes configuradas con contraseñas débiles o con las vulnerabilidades del desbordamiento del buffer del Servicio de Estaciones de Trabajo, las Librerías AS1, LSASS, el RPC/DCOM y el Plug & Play.

El gusano se ejecuta en forma continua en segundo plano (background) y activa su servidor de puerta trasera, el cual se conecta a diversos canales del IRC (Internet Chat Relay), haciendo uso de un peligroso BOT, permitiéndole ejecutar a un intruso, las siguientes acciones:

    * Terminar los procesos de los antivirus instalados
    * Rastrear redes con vulnerabilidades
    * Descargar y ejecutar archivos malignos
    * Robar información del sistema
    * Permitir el ingreso de intrusos al sistema infectado
    * Ejecutar ataques DoS
    * Tomar el control de los sistemas en forma remota.

La información y parches para las vulnerabilidades mencionadas pueden ser descargadas desde:

http://www.microsoft.com/technet/security/...n/ms03-049.mspx
http://www.microsoft.com/technet/security/...n/ms04-007.mspx
http://www.microsoft.com/technet/security/...n/ms04-011.mspx
http://www.microsoft.com/technet/security/...n/ms04-012.mspx
http://www.microsoft.com/technet/security/...n/ms05-039.mspx
El pasado son solo recuerdos, el futuro son solo sueños