Tiotua.G

TIOTUA.G gusano de discos mapeados y removibles re-configura IE y Windows Explorer activa programas, etc.

W32/Tiotua.G

Tiotua.G es un gusano residente en memoria reportado el 12 de Abril del 2007 que se propaga en las unidades de disco creadas en el servidor y compartidas con las estaciones de trabajo (mapeadas), ademas de los discos removibles.

Deshabilita el Editor de Registros y el Administrador de Tareas, cambia la configuración del Internet Explorer y Windows Explorer.

Es un PE (Portable Ejecutable) infecta Windows 98/Me/NT/2000/NT/XP y Server 2003, está desarrollado en Visual C++ con una extensión variable y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser activado se copia a todas las unidades "mapeadas" con el nombre de TinyVirusCleaner.exe y crea los los siguientes archivos:

C:\autorun.inf
C:\pantun teka teki.txt
%Windir%\Tempt\talk.bat

para ejecutarse la próxima vez que se re-inicie el sistema modifica la siguiente llave:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"talk" = %Windir%\Tempt\talk.bat"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Para cambiar la configuración del Internet Explorer modifica los valores en las llaves:

[HKCU\Software\Microsoft\Internet Explorer\Main]
[HKCU\Software\Microsoft\Internet Explorer\Main\Start Page]
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page]

para deshabilitar el Administrador de Tareas crea las llaves:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = " 1"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"

para deshabilitar el Editor de Registros crea la llave:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1"

para deshabilitar el cambio de opciones del Explorador de Windows en las carpetas crea la llave:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions" = "1"

para impedir que el Explorador de Windows visualice el contenido de archivos en las carpetas, crea las llaves:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu" = "1"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoViewContextMenu" = "1"

para ocultar las carpetas del Explorador de Windows, crea la llave:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "0"

Al siguiente inicio del equipo el gusano abre distintos programas, tales como la Libreta de Notas, los juegos Solitario, Pinball, el Windows Media Player. Abre y cierra la lectora de CD y borra determinados atajos o enlaces directos al Escritorio de Windows.

Luego muestra en pantalla un falso mensaje:

The 'USB Mass Storage Device' device can now be safely removed from the system.

y re-inicia el sistema automáticamente.

El gusano crea diversas tareas a ser ejecutadas programadamente durante varias veces al día.

PER ANTIVIRUS® versiones 10.0 y 10.1 con registro de virus al 12 de Abril del 2007 detecta y elimina este gusano.