|
W32/Tilebot.FR
Tilebot.FR es un destructivo gusano/backdoor reportado el 05 de Julio del 2006, que se propaga a través de las Redes con recursos compartidos configuradas con contraseñas débiles.Explota las vulnerabilidades del desbordamiento del buffer del Servicio de Estaciones de Trabajo, las Librerías AS1, LSASS, RPC/DCOM y el Plug & Play.
Infecta con un archivo de nombre Win32ssr.exe, captura y envía información al intruso a través de diversos canales del IRC (Internet Chat Relay), haciendo uso de un peligroso BOT.
Se ejecuta en forma continúa en segundo plano (background), con su servidor backdoor que permitirá que intrusos ingresen a los sistemas y lo controlen en forma remota, vía canales del IRC (Internet Chat Relay).
Crea sub-llaves que al ser ejecutadas desestabilizan la seguridad de los sistemas operativos y deshabilitando importantes servicios.
Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003 está desarrollado en Visual C++ y comprimido con un utilitario propio del autor.
Una vez ingresado a un sistema se copia al directorio %Windir% con el nombre de Winlogon.exe y se registra como un servicio de driver del sistema denominado "Windows Spooler Service", cuyo nombre muestra en pantalla cada vez que se inicie el sistema controlando la llave:
[HKLM\SYSTEM\CurrentControlSet\Services\Windows Spooler Service]
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
Para impedir la ejecución automática al inicio del sistema de otros programas el gusano agrega estas llaves:
[HKEY_LOCAL_MACHINE\CurrentControlSet\Services\Messenger]
Start = 4
[HKEY_LOCAL_MACHINE\CurrentControlSet\Services\RemoteRegistry]
Start = 4
[HKEY_LOCAL_MACHINE\CurrentControlSet\Services\TlntSvr]
Start = 4
para impedir la actualizaciones de MS Windows XP SP2 crea la sub-llave:
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
DoNotAllowXPSP2 = 1
para deshabilitar el DCOM crea la sub-llave:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Ole]
EnableDCOM = N
para permitir el ingreso de usuarios anónimos crea la sub-llave:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
restrictanonymous = 1
Para desestabilizar la seguridad del sistema crea los siguientes registros:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center]
[HKEY_LOCAL_MACHINE\Policies\Microsoft\WindowsFirewall\DomainProfile]
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\StandardProfile]
Al siguiente re-inicio el gusano termina los procesos en ejecución de la mayoría de antivirus y software de control que estuviesen instalados.
luego rastrea aleatoriamente direcciones de redes configuradas con contraseñas débiles o con las vulnerabilidades del desbordamiento del buffer del Servicio de Estaciones de Trabajo, las Librerías AS1, LSASS, el RPC/DCOM y el Plug & Play.
El gusano se ejecuta en forma continua en segundo plano (background) y activa su servidor Backdoor, el cual se conecta a diversos canales del IRC (Internet Chat Relay), haciendo uso de un peligroso BOT, permitiéndole ejecutar a un intruso, las siguientes acciones:
La información y parches para las vulnerabilidades mencionadas pueden ser descargadas desde:
PER ANTIVIRUS® versiones 9.7 y 9.8 con registro de virus al 05 de Julio del 2006 detecta y elimina eficientemente este gusano/backdoor.
