Tendoolf.B es un sofisticado gusano


reportado el 09 de
Mayo del 2002, que se propaga masivamente a través de MS Outlook, MS Messenger y AOL Messenger en un mensaje de correo con un archivo anexado





Con el sugestivo nombre Cute.exe (bonito.exe). También se difunde por un específico canal IRC (Internet Relay Chat). Su primera versión fue reportada el 1o de Mayo, pero tenía errores de programación (bugs) que impedían que su propagación fuese eficiente.

Esta variante facilita su infección, deshabilitando la mayoría de software Antivirus, Firewalls y Procesos, realiza cambios en el sistema y luego se auto-envía masivamente, saturando servidores, estaciones de trabajo, equipos individuales y PC domésticas.

El archivo infectado tiene formato PE (Portable Ejecutable) e infecta los sistemas operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000

Si se ejecuta el archivo anexado, inmediatamente se auto-copia la carpeta
C:WindowsKernel32.exe cuya ubicación por defecto es
C:WindowsSystemKernel32.exe y para ejecutarse la próxima vez que se inicia el sistema modifica las siguientes llaves del registro de Windows:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
Windows = C:WINDOWSKERNEL32.EXE

[HKLMSOFTWAREMicrosoftWindowsCurrentVersion
RunServices]
Windows = C:WINDOWSKERNEL32.EXE

También modifica los archivos SYSTEM.INI y WIN.INI agregándoles las
siguientes líneas:

SYSTEM.INI [boot]shell=explorer.exe C:WINDOWSKERNEL32.EXE
WIN.INI [windows]load=C:WINDOWSKERNEL32.EXE
Luego el gusano deshabilitará la mayoría de software antivirus instalados en el equipo infectado, firewalls y procesos. Para lograrlo, el gusano hace una búsqueda de los siguientes archivos, en memoria dinámica:

Anti-Trojan.exe
ANTS.EXE
APLICA32.EXE
AVCONSOL.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVPM.EXE
blackd.exe
blackice.exe
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
cleaner.exe
cleaner3.exe
expl32.exe
FRW.EXE
iamserv.exe
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
LIBUPDATE.EXE
lockdown2000.exe
minilog.exe
MooLive.exe
MPGSRV32.EXE
Mssmmc32.exe
NAVAPW32.EXE
nvarch16.exe
PCFWallIcon.EXE
RunDii.exe
RunDIl.exe
rundli.exe
SAFEWEB.EXE
Sphinx.exe
tca.exe
TDS2-.EXE
TEMP.EXE
VSECOMR.EXE
VSHWIN32.EXE
vsmon.exe
VSSTAT.EXE
WEBSCANX.EXE
WinDll.exe
WrAdmin.exe
WrCtrl.exe
zonealarm.exe

Si cualquiera de los procesos antes mencionados es encontrado, los terminará o cerrará y luego el gusano se auto-enviará a través de mensajes en forma masiva vía MS Outlook, MS Messenger y AOL Messenger o conectándose al canal de Chat #HELLSPAWN, infectando a todos los usuarios que se encuentren conectados en la misma sesión, causando finalmente una Negación de Servicio (DoS) por saturación: http://www.perantivirus.com/sosvirus/pregunta/dos.htm





Otras noticias de interés:

Yahoo! revela las direcciones de sus usuarios
Este fin de semana, hizo su aparición un nuevo gusano, con una característica novedosa que nos sorprendió, aunque el gusano en si mismo no tiene nada de sorprendente....
Aumentan los ataques SQL para robar información personal y financiera
Los asaltos SQL (Structured Query Language) a bases de datos están alcanzando números record. En ellos, los atacantes intentan conseguir información de índole personal y financiera almacenada en ellas, según el suministrador de servicios gestion...
Libros Electronicos para descargar
Los Amigos de Hackemate.com.ar han colocado una serie de libros electronicos bastante interesantes para su descarga totalmente gratuita....
CiberGuerra: Anonymous contraataca despúes del cierre de MegaUpload
Luego que el FBI (Federal Bureau of Investigation) ha cerrado el conocido portal de almacenamiento en línea MegaUpload y sus páginas asociadas, Anonymous respondió con ataques a las entidades relacionadas en mayor o menor medida con el cierre de M...
Estudio realizado por la Universidad de Arizona revela que las oficinas tienen 400 veces más bateria
Teléfonos asquerosos y teclados infestados de gérmenes, cualquiera que tome la merienda en su puesto de trabajo puede estar comiendo más microbios de los que puede masticar. ...
Microsoft lanzó parche gigante 14 actualizaciones críticas
Microsoft lanzó ayer un parche que repara un número récord de boletines de seguridad para un solo mes, alcanzando 14 fixes para 34 vulnerabilidades diferentes en todas las versiones soportadas de Windows (desde XP SP3 en adelante), Internet Explor...
#Geolocalización y #malware en móviles, problemas en 2012
Un año más la empresa de seguridad M86 Security ha lanzado sus predicciones para el próximo año, cuando los proveedores de servicios cloud deberán extremar las precauciones....
Fundación Mozilla: Ley CISPA atenta contra privacidad
La Fundación Mozilla ha asegurado que la recién aprobada Ley CISPA -Ley de Intercambio y Protección de Información de Inteligencia Cibernética- atenta contra su privacidad y concede una inmunidad a las empresas y el gobierno que son demasiado am...
La informática en la nube no es lo suficientemente segura
Los servicios basados en la nube se están lanzando sin poner suficiente atención en la seguridad de estos servicios y la información que manejan. Ésta es la principal conclusión de un estudio elaborado por la RSA Security....
Alerta!!! en china por el virus "CHINESE HACKER"
Una advertencia de un virus aparentemente destructivo, que se está expandiendo rápidamente. Temporalmente se le ha colocado el nombre de Chinese Hacker debido a que se supone que su origen puede ser chino. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • gusano
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • isticado
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • tendoolf
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra