Jueves 14 de Noviembre de 2024, 04:41
SoloCodigo
Bienvenido(a),
Visitante
. Por favor,
ingresa
o
regístrate
.
¿Perdiste tu
email de activación?
Inicio
Foros
Chat
Ayuda
Buscar
Ingresar
Registrarse
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Tilebot.fr
« anterior
próximo »
Imprimir
Páginas: [
1
]
Autor
Tema: Tilebot.fr (Leído 1664 veces)
RadicalEd
Moderador
Mensajes: 2430
Nacionalidad:
Tilebot.fr
«
en:
Jueves 6 de Julio de 2006, 16:48 »
0
Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:05-07-2006
Última Actualización:05-07-2006
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Tilebot.FR
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:W32/Tilebot.FR (PerAntivirus)
Detalles
Crea claves de registro que al ser ejecutadas desestabilizan la seguridad de los sistemas operativos y deshabilitando importantes servicios.
Una vez ejecutado se copia al directorio %Windir% con el nombre de Winlogon.exe y se registra como un servicio de driver del sistema denominado "Windows Spooler Service", cuyo nombre muestra en pantalla cada vez que se inicie el sistema controlando la clave de registro:
[HKLM\SYSTEM\CurrentControlSet\Services\Windows Spooler Service]
Nota:%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
Para impedir la ejecución automática al inicio del sistema de otros programas el gusano agrega estas entradas:
[HKEY_LOCAL_MACHINE\CurrentControlSet\Services\Messenger]
Start = 4
[HKEY_LOCAL_MACHINE\CurrentControlSet\Services\RemoteRegistry]
Start = 4
[HKEY_LOCAL_MACHINE\CurrentControlSet\Services\TlntSvr]
Start = 4
para impedir la actualizaciones de MS Windows XP SP2 crea la entrada:
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
DoNotAllowXPSP2 = 1
para deshabilitar el DCOM crea la sub-clave:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Ole]
EnableDCOM = N
para permitir el ingreso de usuarios anónimos crea la sub-clave:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
restrictanonymous = 1
Para desestabilizar la seguridad del sistema crea los siguientes registros:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center]
[HKEY_LOCAL_MACHINE\Policies\Microsoft\WindowsFirewall\DomainProfile]
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\StandardProfile]
Al siguiente re-inicio el gusano finaliza los procesos en ejecución de la mayoría de antivirus y software de control que estuviesen instalados.
Luego rastrea aleatoriamente direcciones de redes configuradas con contraseñas débiles o con las vulnerabilidades del desbordamiento del buffer del Servicio de Estaciones de Trabajo, las Librerías AS1, LSASS, el RPC/DCOM y el Plug & Play.
El gusano se ejecuta en forma continua en segundo plano (background) y activa su servidor de puerta trasera, el cual se conecta a diversos canales del IRC (Internet Chat Relay), haciendo uso de un peligroso BOT, permitiéndole ejecutar a un intruso, las siguientes acciones:
* Terminar los procesos de los antivirus instalados
* Rastrear redes con vulnerabilidades
* Descargar y ejecutar archivos malignos
* Robar información del sistema
* Permitir el ingreso de intrusos al sistema infectado
* Ejecutar ataques DoS
* Tomar el control de los sistemas en forma remota.
La información y parches para las vulnerabilidades mencionadas pueden ser descargadas desde:
http://www.microsoft.com/technet/security/...n/ms03-049.mspx
http://www.microsoft.com/technet/security/...n/ms04-007.mspx
http://www.microsoft.com/technet/security/...n/ms04-011.mspx
http://www.microsoft.com/technet/security/...n/ms04-012.mspx
http://www.microsoft.com/technet/security/...n/ms05-039.mspx
Tweet
El pasado son solo recuerdos, el futuro son solo sueños
Imprimir
Páginas: [
1
]
« anterior
próximo »
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Tilebot.fr