|
W32/Tisandr@mm
Tisandr es un gusano/backdoor de correo reportado el 13 de Julio del 2007, residente en memoria, que infecta archivos ejecutables de todas las las unidades de disco fijos y removibles, incluyendo dispositivos USB.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP y Server 2003. Está desarrollado en Visual C++ con una extensión de 38KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook y a la Libreta Global de Windows WAB (Windows Address Book).
El mensaje tiene las siguientes características:
Asunto, uno de los siguientes:
Contenido, [en_blanco]:
Anexado: screen.zip
al activarse se desempaqueta en memoria y copia al directorio %Windir% con los nombres:
Para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"svchost" = "%Windir%\svchost.exe"
para registrar la fecha de infección de los archivos ejecutables crea la llave:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System7154]
"GL" = "[IINFECTION_DATE]"
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
Al siguiente inicio del equipo ejecuta su rutina de envío masivo de mensajes de correo. Luego revisa todas las unidades de disco y sobre escribe los archivos ejecutables con el nombre de Sys7154.tmp
Actuando como Backdoor a través del puerto TCP 7154 (no asignado) se conecta un servidor IRC (Internet Chat Relay) uniéndose a un canal de chat cifrado, desde el cual recibirá intrucciones para ejecutar comandos en forma remota, tales como:
PER ANTIVIRUS® versiones 10.1 y 10.2 con registro de virus al 13 de Julio del 2007 detectan y eliminan eficientemente este gusano/backdoor.
