W32/Tilebot.GZ

Explota conocidas vulnerabilidades de desbordamiento de memoria reportadas en los Boletines MS03-049: Servicios de Estaciones de Trabajo, MS04-007, Proceso de la Librería ASN.1, MS05-039: Plug and Play de Windows y MS06-040: Servicios de Servidor. 

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP/Vista y Server 2003

Al ingresar a un sistema se copia al directorio %Windir% como lsass.exe y libera en la carpeta %System% el archivo rdriv.sys, y registra al primer archivo como un servicio de driver del sistema de nombre lsass, con la propiedad de activación automática y mostrando el nombre de Local Security Authority Subsystem Service.

Este proceso es oculto y crea valores en la llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lsass]

El archivo rdriv.sys se registra como otro servicio de driver del sistema de nombre rdriv, creando valores en la llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv]

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, para impedir la ejecución automática del Messenger y otros programas, crea la sub-llave:

[HKLM\SYSTEM\CurrentControlSet\Services\Messenger]
Start = 4

para deshabilitar el Editor de Registros crea la sub-llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry]
Start = 4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
Start = 4

para impedir las actualizaciones de MS Windows XP SP2 crea la sub-llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
DoNotAllowXPSP2 = 1

para deshabilitar el DCOM crea la sub-llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
EnableDCOM = N

para permitir el ingreso de usuarios anónimos crea la sub-llave:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
restrictanonymous = 1

Para desestabilizar el sistema agrega valores a las llaves:

[HKLM\SOFTWARE\Microsoft\Security Center]
[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]

El gusano se ejecuta en forma contínua en el "background" y activa un Backdoor, el cual se conecta a diversos canales del IRC (Internet Chat Relay) permitiéndo ejecutar a los intrusos, cualquiera de las siguientes acciones:

• Rastrear redes con vulnerabilidades
• Descargar y ejecutar archivos malignos
• Ingresar a redes con recursos compartidos
• Robar información del sistema

La información y parches para las vulnerabilidades mencionadas pueden ser descargadas desde:

• Microsoft Security Bulletin MS03-049
• Microsoft Security Bulletin MS04-007
• Microsoft Security Bulletin MS05-039
• Microsoft Security Bulletin MS06-040

PER ANTIVIRUS® versiones X5 y X6 con registro de virus al 18 de Julio del 2008 detectan y eliminan este gusano/backdoor.