Tilebot.KF

TILEBOT.KF gusano/backdoor de IRC y Peer 2 Peer Kazaa deshabilita protección Windows controla remotamente.

W32/Tilebot.KF

Tilebot.KF es un gusano/backdoor residente en memoria reportado el 14 de Agosto del 2007, que se propaga a través del IRC (Internet Chat Relay) y de la red de compartimienmto de archivos P2P Kazaa. Descarga archivos con códigos arbitrarios vía Chat.

El gusano se ejecuta contínuamente en segundo plano, mientras activa su Backdoor que se conectará a un servidor del IRC (Internet Chat Relay) con un BOT que ejecuta acciones arbitrarias en forma automática y remota.

Desestabiliza la seguridad del sistema inhabilitando servicios.

Infecta a Windows 98/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++ con una extensión de 92KB y comprimido con el utilitario ASProtect:

http://www.aspack.com

Una vez ingresado, el gusano se copia a las siguientes rutas:

%Windir%\mssq.exe
%Program Files%\KaZaA\My Shared Folder\pgoat10.exe

El archivo mssq.exe es registrado como un nuevo servicio del sistema, con el nombre de "Internet Security Service 23" y que muestra el título del mismo nombre, con funciones de Inicio automático, para activarse cada vez que se reinicie el sistema.

para garantizar su activación crea la llave:

[HKLM\SYSTEM\CurrentControlSet\Services\Internet Security Service 23]

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%ProgramFiles% es la variable referida a la carpeta de archivos de programa. Por defecto es C:\Program Files.

Al siguiente inicio del equipo, el gusano configura las siguientes sub-llaves:

Para deshabilitar el Administrador de Barra de Tareas modifica la sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"

Para deshabilitar el Editor de Registros modifica la sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1"

para deshabilitar la ejecución automática de programas al inicio del sistema modifica las sub-llaves:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Messenger]
"Start" = "4"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry]
"Start" = "4"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Start" = "4"

Para desestabilizar la seguridad de Windows, inhabilitar al Firewall, impedir actualizaciones, etc., agrega valores a las siguientes sub-llaves:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCScan" = "0"

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\DomainProfile]
"EnableFirewall" = "0"

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\StandardProfile]
"EnableFirewall" = "0"

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotAllowXPSP2" = "1"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Ole]
"EnableDCOM" = "N"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCDisable" = "ffffff9d"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %Windir%\mssq.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center]
[HKEY_LOCAL_MACHINE\Software\Symantec\LiveUpdate Admin]

Para deshabilitar el "Windows File Protection" (WFP), el gusano copia los archivos originales de sistema sfc_os.dll o sfc.dll a la ruta:

%System%\trash[número_aleatorio]

Como Backdoor se conecta a través de un puerto TCP aleatorio a un servidor IRC (Internet Chat Relay) y une a un canal de Chat cifrado que contiene un BOT desde el cual recibirá instrucciones pudiendo ejecutar las siguientes acciones en forma remota:

Descargar y ejecutar archivos con códigos malignos
Capturar y enviar una información del sistema
Capturar teclas digitadas.
Capturar contraseñas
Propagarse a través de la red P2P Kazaa

PER ANTIVIRUS® versión 10.2 con registro de virus al 14 de Agosto del 2007 detecta y elimina este gusano/backdoor.