Tilebot.EA

TILEBOT.EA gusano/backdoor de redes con recursos compartidos, explota vulnerabilidades, ejcuta ataques DoS, etc.

W32/Tilebot.EA

Tilebot.EA es un destructivo gusano/backdoor reportado el 20 de Marzo del 2006, que se propaga a través de las Redes con recursos compartidos configuradas con contraseñas débiles. Infecta con un archivo de nombre Win32ssr.exe, captura y envía información al intruso a través de diversos canales del IRC (Internet Chat Relay).

Explota las vulnerabilidades del desbordamiento del buffer de las Librerías AS1, el LSASS, RPC/DCOM y el Plug & Play.

Crea sub-llaves que al ser ejecutadas desestabilizan la seguridad de los sistemas operativos.

El gusano abre un Backdoor que permitirá a un intruso ejecutar comandos vía el IRC (Internet Chat Relay) y ataques DoS.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003

Una vez ingresado a un sistema se auto-copia al directorio %Windir% con el nombre de Win32ssr.exe y se registra como un servicio de driver del sistema y para activarse la siguiente vez que se inicie el sistema crea las siguientes llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Win32Sr" = "%Windir%\Win32Ssr.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Win32Sr" = "%Windir%\Win32Ssr.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Win32Sr" = "%Windir%\Win32Ssr.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Win32Sr" = "%Windir%\Win32Ssr.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Para impedir la ejecución automática al inicio del sistema de otros programas el gusano agrega estas llaves:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Messenger]
Start = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteRegistry]
Start = 4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
Start = 4

para impedir la actualizaciones de MS Windows XP SP2 crea la sub-llave:

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
DoNotAllowXPSP2 = 1

para deshabilitar el DCOM crea la sub-llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
EnableDCOM = N

para permitir el ingreso de usuarios anónimos crea la sub-llave:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
restrictanonymous = 1

Para desetabilizar la seguridad del sistema crea los siguientes registros:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center]
[HKEY_LOCAL_MACHINE\Policies\Microsoft\WindowsFirewall\DomainProfile]
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\StandardProfile]

Al siguiente re-inicio el gusano termina los procesos en ejecución de la mayoría de antivirus y software de control que estuviesen instalados.

luego rastrea aleatoriamente direcciones de redes configuradas con contraseñas débiles o con las vulnerabilidades del desbordamiento del buffer en las Librerías AS1, LSASS, el RPC/DCOM y el Plug & Play.

El gusano se ejecuta en forma contínua en el "background" y activa un Backdoor, el cual se conecta a diversos canales del IRC (Internet Chat Relay) permitiéndole ejecutar a un intruso, las siguientes acciones:

Terminar los procesos de los antivirus instalados
Rastrear redes con vulnerabilidades
Descargar y ejecutar archivos malignos
Robar información del sistema
Permitir el ingreso de intrusos al sistema infectado
Ejecutar ataques DoS

La información y parches para las vulnerabilidades mencionadas pueden ser descargadas desde:

PER ANTIVIRUS® versión 9.6 con registro de virus al 20 de Marzo del 2006 detecta y elimina eficientemente este gusano/backdoor.