Tendoolf.B es un sofisticado gusano


reportado el 09 de
Mayo del 2002, que se propaga masivamente a través de MS Outlook, MS Messenger y AOL Messenger en un mensaje de correo con un archivo anexado





Con el sugestivo nombre Cute.exe (bonito.exe). También se difunde por un específico canal IRC (Internet Relay Chat). Su primera versión fue reportada el 1o de Mayo, pero tenía errores de programación (bugs) que impedían que su propagación fuese eficiente.

Esta variante facilita su infección, deshabilitando la mayoría de software Antivirus, Firewalls y Procesos, realiza cambios en el sistema y luego se auto-envía masivamente, saturando servidores, estaciones de trabajo, equipos individuales y PC domésticas.

El archivo infectado tiene formato PE (Portable Ejecutable) e infecta los sistemas operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000

Si se ejecuta el archivo anexado, inmediatamente se auto-copia la carpeta
C:WindowsKernel32.exe cuya ubicación por defecto es
C:WindowsSystemKernel32.exe y para ejecutarse la próxima vez que se inicia el sistema modifica las siguientes llaves del registro de Windows:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
Windows = C:WINDOWSKERNEL32.EXE

[HKLMSOFTWAREMicrosoftWindowsCurrentVersion
RunServices]
Windows = C:WINDOWSKERNEL32.EXE

También modifica los archivos SYSTEM.INI y WIN.INI agregándoles las
siguientes líneas:

SYSTEM.INI [boot]shell=explorer.exe C:WINDOWSKERNEL32.EXE
WIN.INI [windows]load=C:WINDOWSKERNEL32.EXE
Luego el gusano deshabilitará la mayoría de software antivirus instalados en el equipo infectado, firewalls y procesos. Para lograrlo, el gusano hace una búsqueda de los siguientes archivos, en memoria dinámica:

Anti-Trojan.exe
ANTS.EXE
APLICA32.EXE
AVCONSOL.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVPM.EXE
blackd.exe
blackice.exe
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
cleaner.exe
cleaner3.exe
expl32.exe
FRW.EXE
iamserv.exe
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
LIBUPDATE.EXE
lockdown2000.exe
minilog.exe
MooLive.exe
MPGSRV32.EXE
Mssmmc32.exe
NAVAPW32.EXE
nvarch16.exe
PCFWallIcon.EXE
RunDii.exe
RunDIl.exe
rundli.exe
SAFEWEB.EXE
Sphinx.exe
tca.exe
TDS2-.EXE
TEMP.EXE
VSECOMR.EXE
VSHWIN32.EXE
vsmon.exe
VSSTAT.EXE
WEBSCANX.EXE
WinDll.exe
WrAdmin.exe
WrCtrl.exe
zonealarm.exe

Si cualquiera de los procesos antes mencionados es encontrado, los terminará o cerrará y luego el gusano se auto-enviará a través de mensajes en forma masiva vía MS Outlook, MS Messenger y AOL Messenger o conectándose al canal de Chat #HELLSPAWN, infectando a todos los usuarios que se encuentren conectados en la misma sesión, causando finalmente una Negación de Servicio (DoS) por saturación: http://www.perantivirus.com/sosvirus/pregunta/dos.htm





Otras noticias de interés:

Guía de operaciones de seguridad para Windows 2000 Server (PARTE IV)
Administrar revisiones Los sistemas operativos y las aplicaciones pueden ser muy complejos. Están formados por millones de líneas de código y son obra de muchos programadores diferentes. Es fundamental que el software funcione de manera con...
Nuevo Curso Básico de PHP este 6 y 7 de Marzo
Está pautado a realizarse los días Sábado 6 y Domingo 7 de Marzo del presente año, en el Instituto de Diseño Charles worth, Ciudad de Valencia, Carabobo. El curso está estructurado para llevarlo a modo intensivo, y poder realizarlo en todo u...
Exploit de la nueva vulnerabilidad del Postnuke por SQL Injection
Exploit de la nueva vulnerabilidad del Postnuke por SQL Injection, descubierta por pokleyzz...
Firefox y Opera, vulnerables a fuga de información
Opera y Firefox contienen código vulnerable para el manejo de archivos BMP. El problema permite que un atacante genere un archivo en este formato, modificado para obtener datos de la memoria utilizada por estos navegadores. Esta información puede s...
Actualización de Cisco IOS que corrige una vulnerabilidad
Cisco avisa -en http://www.cisco.com/warp/public/707/cisco-sa-20030515-saa.shtml - de que varias versiones del software Cisco IOS que se encuentra instalado en una gran mayoría de sus dispositivos, están afectadas por vulnerabilidades en Service As...
La Web abre vías para los ciberataques
Desde que una compañía decide abrir conectarse a Internet, ya es vulnerable. Hay estrategias que aplican los piratas para ingresar a las redes empresariales....
Exploit activo para nueva vulnerabilidad en Word
Se han recibido reportes de una nueva vulnerabilidad que afecta específicamente a Microsoft Word 2000. La misma estaría siendo explotada por determinado tipo de malware, dirigida a blancos específicos....
Wikipedia se une al apagón con Reddit el 18/01/2012
Wales había planteado la idea del apagón de toda la Wikipedia como protesta, es decir, no habría página en funcionamiento en ningún país, desde que comenzaran a oírse los primeros rumores de las grandes como Google, Facebook o Twitter, quienes...
Poner Troyano y virus en un TXT
Te voy a explicar como crear un método para colocar un troyano en un archivo TXT. El método se puede resumir en pocas palabras: es un paquete colocado en un archivo DOC con extensión cambiada a TXT. Si no entendiste sigue leyendo y ...
Munich opta por Linux y le asesta un golpe a Microsoft
La ciudad de Munich le asestó un golpe a la dominación por Microsoft del segmento de software para computadoras personales. El gobierno municipal dijo que cambiará 14.000 computadoras del sistema operativo Windows a Linux, una conversión que se c...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • gusano
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • isticado
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • tendoolf
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra