|
W32/Tilebot.KB
Tilebot.KB es un destructivo gusano/backdoor reportado el 19 de Julio del 2007, que se propaga a través de redes con recursos compartidos y de compartimientos de archivos Peer to Peer.Crea sub-llaves que al ser ejecutadas deshabilitan servicios del sistema y desestabilizan su seguridad. Sobre-escribe los archivos relacionados a los comandos FTP (File Transfer Protocol) impidiendo ejecutar este servicio de Internet.
Se conecta a un sitio web encriptado via el puerto TCP 80, pudiendo ejecutar acciones arbitrarias en forma remota o substrayendo información de los sistemas infectados.
Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003 está desarrollado en Visual C++ y comprimido con un utilitario propio del autor.
Una vez ingresado a un sistema se copia al directorio %Windir% con el nombre de netserv.exe y se registra como un servicio de driver del sistema denominado "Windows .NET Service", cuyo nombre muestra en pantalla cada vez que se inicie el sistema controlando la llave:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows .NET Service]
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
Para deshabilitar el Administrador de la Barra de Tareas modifica la sub- llave:
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 1
Para deshabilitar el Editor de Registros modifica la sub- llave:
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableRegistryTools = 1
para deshabilitar la desinfección de virus de los software antivirus crea la sub-llave:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center]
AntiVirusOverride = 1
para impedir la actualizaciones de MS Windows XP SP2 crea la sub-llave:
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
DoNotAllowXPSP2 = 1
para deshabilitar el DCOM crea la sub-llave:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Ole]
EnableDCOM = N
para re-activar el servicio Windows .NET Service crea la sub-llave:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell Explorer.exe = %Windir%\netserv.exe
para permitir el ingreso de usuarios anónimos crea la sub-llave:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
restrictanonymous = 1
para deshabilitar el Firewall de Windows modifica las sub-llaves:
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\StandardProfile]
EnableFirewall = 0
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile]
EnableFirewall = 0
[HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center]
FirewallOverride = 1
Al siguiente re-inicio el gusano se copia a las carpetas de los sistemas Peer to Peer que estuviesen instalados, para poder infectar a los usuarios que compartan esas conexiones.
luego reemplaza los archivos FTP de la carpeta %System%, dejándolos inoperativos:
a los mismos que crea una copia de respaldo en las siguientes rutas:
modifica el número de
conexiones TCP
de salida a Internet sobre-escribiendo la ruta:
%System%\drivers\tcpip.sys
Actuando como Backdoor se conecta a un sitio web encriptado via el puerto TCP 80, protocolo HTTP pudiendo ejecutar acciones arbitrarias en forma remota o substrayendo información de los sistemas infectados.
PER ANTIVIRUS® versiones 10.1 y 10.2 con registro de virus al 19 de Julio del 2007 detectan y eliminan eficientemente este gusano/backdoor.
