Tendoolfe

TENDOOLF, gusano que deshabilita Antivirus, Firewalls y Procesos, se propaga masivamente

W32/Tendoolf.B@MM, I-Worm.Tendoolf.B, W32/Floodnet@MM

Tendoolf.B es un sofisticado gusano reportado el 09 de Mayo del 2002, que se propaga masivamente a través de MS Outlook, MS Messenger y AOL Messenger en un mensaje de correo con un archivo anexado con el sugestivo nombre Cute.exe (bonito.exe). También se difunde por un específico canal IRC (Internet Chat Relay).

Su primera versión fue reportada el 1o de Mayo, pero tenía errores de programación (bugs) que impedían que su propagación fuese eficiente.

Esta variante facilita su infección, deshabilitando la mayoría de software Antivirus, Firewalls y Procesos, realiza cambios en el sistema y luego se auto-envía masivamente, saturando servidores, estaciones de trabajo, equipos individuales y PC domésticas.

El archivo infectado tiene formato PE (Portable Ejecutable) e infecta los sistemas operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000

Si se ejecuta el archivo anexado, inmediatamente se auto-copia la carpeta C:\Windows\Kernel32.exe cuya ubicación por defecto es C:\Windows\System\Kernel32.exe y para ejecutarse la próxima vez que se inicia el sistema modifica las siguientes llaves del registro de Windows:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Windows = C:\WINDOWS\KERNEL32.EXE

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
Windows = C:\WINDOWS\KERNEL32.EXE

También modifica los archivos SYSTEM.INI y WIN.INI agregándoles las siguientes líneas:

SYSTEM.INI [boot]\shell=explorer.exe C:\WINDOWS\KERNEL32.EXE
WIN.INI [windows]\load=C:\WINDOWS\KERNEL32.EXE

Luego el gusano deshabilitará la mayoría de software antivirus instalados en el equipo infectado, firewalls y procesos. Para lograrlo, el gusano hace una búsqueda de los siguientes archivos, en memoria dinámica:

Anti-Trojan.exe
ANTS.EXE
APLICA32.EXE
AVCONSOL.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVPM.EXE
blackd.exe
blackice.exe
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
cleaner.exe
cleaner3.exe
expl32.exe
FRW.EXE
iamserv.exe
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
LIBUPDATE.EXE
lockdown2000.exe
minilog.exe
MooLive.exe
MPGSRV32.EXE
Mssmmc32.exe
NAVAPW32.EXE
nvarch16.exe
PCFWallIcon.EXE
RunDii.exe
RunDIl.exe
rundli.exe
SAFEWEB.EXE
Sphinx.exe
tca.exe
TDS2-.EXE
TEMP.EXE
VSECOMR.EXE
VSHWIN32.EXE
vsmon.exe
VSSTAT.EXE
WEBSCANX.EXE
WinDll.exe
WrAdmin.exe
WrCtrl.exe
zonealarm.exe

Si cualquiera de los procesos antes mencionados es encontrado, los terminará o cerrará y luego el gusano se auto-enviará a través de mensajes en forma masiva vía MS Outlook, MS Messenger y AOL Messenger o conectándose al canal de Chat #HELLSPAWN, infectando a todos los usuarios que se encuentren conectados en la misma sesión, causando finalmente una Negación de Servicio (DoS) por saturación.

PER ANTIVIRUS® versiones 7.4 y 7.5 con registro de virus al 10 de Mayo del 2002 detecta y elimina eficientemente este gusano.