|
W32/Tilebot.KG
Tilebot.KG es un gusano/backdoor residente en memoria reportado el 11 de Septiembre del 2007, que se propaga a través del el IRC (Internet Chat Relay), mensajería instantánea, HTTP y redes con recursos compartidos configuradas con contraseñas débiles.Explota las vulnerabilidades del sistema LSASS (MS04-011), el RPC-DCOM (MS04-012), proceso de la Librería ASN.1 (MS04-007), la del Servicio de Servidor (MS06-040) y RealVNC (CVE-2006-2369).
El gusano se ejecuta contínuamente en segundo plano, mientras activa su Backdoor que se conectará a un servidor del IRC (Internet Chat Relay) con un BOT que ejecutará acciones arbitrarias en forma automática y remota.
Desestabiliza la seguridad del sistema inhabilitando servicios.
Infecta a Windows 98/NT/2000/XP/Vista y Server 2003, está desarrollado en MS Visual C++ con una extensión de 98KB y comprimido con el utilitario ASProtect.
Una vez ingresado, el gusano se copia al directorio %Windir% como wdfmgr.exe y libera el archivo::
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
Al siguiente inicio del equipo, el gusano deshabilita el "System File Checker" que es usado con el Windows File Protection (WFC), modificando los archivos originales de sistema sfc_os.dll o sfc.dll al configurar las siguientes sub-llaves:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
SFCScan = 0
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
SFCDisable = ffffff9d
Esta modificación es detectada como "Disabled System File Check DLL".
Para impedir la ejecución automática de otros programas al inicio del sistema, crea las sub-llaves:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Messenger]
Start = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteRegistry]
Start = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TlntSvr]
Start = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wscsvc]
Start = 4
Para desestabilizar la seguridad de Windows, deshabilitar los software
antivirus, el Firewall de Windows, impedir
actualizaciones, compartimiento de archivos, etc., agrega valores a las siguientes sub-llaves:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center]
AntiVirusDisableNotify = 1
[HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center]
AntiVirusOverride = 1
[HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center]
FirewallDisableNotify = 1
[HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center]
FirewallOverride = 1
[HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center]
UpdatesDisableNotify = 1
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
DoNotAllowXPSP2 = 1
[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
EnableFirewall = 0
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\StandardProfile]
EnableFirewall = 0
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\parameters]
AutoShareServer = 0
[HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
AutoShareWks = 0
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanworkstation\parameters]
AutoShareServer = 0
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanworkstation\parameters]
AutoShareWks = 0
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control]
WaitToKillServiceTimeout = 7000
[HKEY_LOCAL_MACHINE\Software\Microsoft\Ole]
EnableDCOM = N
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
restrictanonymous = 1
Para propagarse a través de los contactos de Messenger crea los siguientes mensajes:
usando el archivo anexado Z058_jpg.zip
Como Backdoor se conecta a través de un puerto TCP aleatorio a un servidor IRC (Internet Chat Relay) y une a un canal de Chat cifrado que contiene un BOT desde el cual recibirá instrucciones pudiendo ejecutar las siguientes acciones en forma remota:
PER ANTIVIRUS® versión 10.2 con registro de virus al 11 de Septiembre del 2007 detecta y elimina este gusano/backdoor.
