Trojan/Gusano/Backdoor Tufas

TUFAS es un peligroso troyano/gusano/backdoor reportado el 13 de Octubre del 2002, que abre el puerto 4500 y otros elegidos aleatoriamente, e ingresa furtivamente a los Servidores, estaciones de trabajo o PC domésticas con un archivo de nombre aleatorio con extensión .EXE. Deshabilita antivirus y se propaga también a través de la popular red Kazaa y canales de Chat. Finalmente toma control de los sistemas infectados.

Es un PE (Portable Ejecutable) e infecta los sistemas operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.  

Una vez ingresado a un sistema se auto-copia como %windir%\(nombre_aleatorio.exe), con el atributo de de archivo oculto. Para propagarse, por lo general emplea un "rastreador de Puertos" a los cuales asigna rangos aleatorios de direcciones IP.   

%windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

Para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llaves de registro: 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
default = "C:\%windir%\nombre_aleatorio.exe"

Para propagarse a través de la red compartida Kazza, agrega los siguientes valores a su llave de registro: 

[HKEY_CURRENT_USER\Software\KAZAA\LocalContent]
BehindProxy 1
DisableSharing 0
KaZaARegKey = C:\%Windir%\archivo_aleatorio.exe

Luego intentará terminar con el proceso de los siguientes antivirus:

_AVP32
_AVPCC
_AVPM
ALERTSVC
_AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
NAVWNT
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
SCAN
SMSS

El gusano se conecta a varios servidores IRC contenidos en su código viral y se auto-envía e infecta a los usuarios conectados en una misma sesión de chat.

El IRC (Internet Relay Chat) es un protocolo desarrollado que permite la comunicación entre usuarios de Internet en "tiempo real', haciendo uso de software "clientes IRC" (tales como el mIRC, pIRCh, Microsoft Chat, etc.)

Luego verifica los valores de registro de Kazaa o BehindProxy en la llave correspondiente. Si ninguno de ellos es hallado, muestra una falsa caja de diálogo que simula ser el antivirus AVP:



Si el usuario hace click en "scan now" el gusano mostrará esta caja de diálogo:



Al hacer click en el botón "OK", el troyano reiniciará el sistema inmediatamente.

El hacker poseedor del software Cliente de este Backdoor, podrá ejecutar las siguientes acciones en los Servidores, estaciones de trabajo o PC infectados:

• Capturar información del sistema de la Red, incluyendo los nombres de los usuarios ("Logins") y sus correspondientes passwords.
• Imprimir texto, ejecutar archivos musicales, abrir o cerrar la bandeja del CD-ROM.
• Bloquear el teclado, mouse o cualquier periférico.
• Interceptar y capturar información confidencial de las teclas digitadas.
• Interceptar y capturar información que se muestre en la pantalla.
• Ordenar que el equipo se desactive, re-inicie o desconecte.
• Etc.

PER ANTIVIRUS® versión 7.7 con registro de virus al 13 de Octubre del 2002 detecta y elimina eficientemente este troyano/gusano/backdoor.