Tendoolf.B es un sofisticado gusano


reportado el 09 de
Mayo del 2002, que se propaga masivamente a través de MS Outlook, MS Messenger y AOL Messenger en un mensaje de correo con un archivo anexado





Con el sugestivo nombre Cute.exe (bonito.exe). También se difunde por un específico canal IRC (Internet Relay Chat). Su primera versión fue reportada el 1o de Mayo, pero tenía errores de programación (bugs) que impedían que su propagación fuese eficiente.

Esta variante facilita su infección, deshabilitando la mayoría de software Antivirus, Firewalls y Procesos, realiza cambios en el sistema y luego se auto-envía masivamente, saturando servidores, estaciones de trabajo, equipos individuales y PC domésticas.

El archivo infectado tiene formato PE (Portable Ejecutable) e infecta los sistemas operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000

Si se ejecuta el archivo anexado, inmediatamente se auto-copia la carpeta
C:WindowsKernel32.exe cuya ubicación por defecto es
C:WindowsSystemKernel32.exe y para ejecutarse la próxima vez que se inicia el sistema modifica las siguientes llaves del registro de Windows:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
Windows = C:WINDOWSKERNEL32.EXE

[HKLMSOFTWAREMicrosoftWindowsCurrentVersion
RunServices]
Windows = C:WINDOWSKERNEL32.EXE

También modifica los archivos SYSTEM.INI y WIN.INI agregándoles las
siguientes líneas:

SYSTEM.INI [boot]shell=explorer.exe C:WINDOWSKERNEL32.EXE
WIN.INI [windows]load=C:WINDOWSKERNEL32.EXE
Luego el gusano deshabilitará la mayoría de software antivirus instalados en el equipo infectado, firewalls y procesos. Para lograrlo, el gusano hace una búsqueda de los siguientes archivos, en memoria dinámica:

Anti-Trojan.exe
ANTS.EXE
APLICA32.EXE
AVCONSOL.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVPM.EXE
blackd.exe
blackice.exe
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
cleaner.exe
cleaner3.exe
expl32.exe
FRW.EXE
iamserv.exe
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
LIBUPDATE.EXE
lockdown2000.exe
minilog.exe
MooLive.exe
MPGSRV32.EXE
Mssmmc32.exe
NAVAPW32.EXE
nvarch16.exe
PCFWallIcon.EXE
RunDii.exe
RunDIl.exe
rundli.exe
SAFEWEB.EXE
Sphinx.exe
tca.exe
TDS2-.EXE
TEMP.EXE
VSECOMR.EXE
VSHWIN32.EXE
vsmon.exe
VSSTAT.EXE
WEBSCANX.EXE
WinDll.exe
WrAdmin.exe
WrCtrl.exe
zonealarm.exe

Si cualquiera de los procesos antes mencionados es encontrado, los terminará o cerrará y luego el gusano se auto-enviará a través de mensajes en forma masiva vía MS Outlook, MS Messenger y AOL Messenger o conectándose al canal de Chat #HELLSPAWN, infectando a todos los usuarios que se encuentren conectados en la misma sesión, causando finalmente una Negación de Servicio (DoS) por saturación: http://www.perantivirus.com/sosvirus/pregunta/dos.htm





Otras noticias de interés:

Lo que sucede cuando introduces la contraseña del MSN en cualquier sitio
Cuando se introducen los datos de acceso de Hotmail en cualquier clase de sitio, léase sitios de quien te admite, se está cediendo el control total de la cuenta a otras personas. A muchos usuarios no les importa porque de inmediato cambian su contr...
Internet sufre la mayor incidencia de virus informáticos de su historia
Internet sufre estos días la mayor incidencia de virus informáticos a nivel mundial de su historia. La aparición casi simultánea de los gusanos Blaster -y sus variantes-, Nachi. A y Sobig. F ha puesto en peligro todo tipo de equipos, tanto ...
Desbordamiento de búfer en Microsoft Exchange 5.5
Existe una vulnerabilidad de seguridad en Microsoft Exchange 5.5 debido a un desbordamiento de búfer en el código de Internet Mail Connector (IMC) al generar la respuesta al comando EHLO....
Juguetes electrónicos que infectan pc
Desde iPods hasta sistemas de navegación, algunos de los más populares juguetes tecnológicos que hoy día están disponibles en las tiendas, podrían contener algunos extras no deseados, preinstalados de fábrica. ...
Tus mensajes privados o directos en Twitter no son tan privados.
Se puede leer en SearchEngineWatch.com donde Gary-Adam Shannon expone: Al introducir el mail y contraseña que se usa en Twitter en un sitio web de terceros, puede hacer que otras personas no autorizadas accedan a sus mensajes privados....
II Jornadas de Divulgación en el uso y desarrollo de Tecnologías Libres
En nuestra responsabilidad de divulgación, sensibilización y adiestramiento de la Población Carabobeña en el ámbito del Software Libre. FUNDACITE Carabobo tiene el agrado de invitarlos al evento “II Jornadas en Divulgación en el uso y desarr...
Rompiendo el cifrado WEP en 8 comandos
Existen múltiples manuales para romper la seguridad de las redes Wireless cuando se utiliza el protocolo WEP, en este caso, ajustamos el entorno a las siguientes condiciones, distribución livecd WHAX, portatil Dell Latitude D610. Dentro de la dist...
Los superordenadores prefieren GNU/Linux
La lista de los 500 ordenadores más potentes del planeta ha coronado a Linux, una vez más, como el sistema operativo preferido por sus administradores, conforme al último informe semestral de la organización Top500, y del que se hace eco PC World...
Antivirus solo detectan un 19% del malware
La compañía Cyveillance ha creado un informe en el que se concluye algo que resulta tan obvio como real. Los porcentajes de detección de los antivirus son bajos. Detectan por firmas el 19% del malware fresco mientras que pasado un mes, sube al 61....
Google Chrome ya no es beta
Aunque parecía que el estado beta sería algo permanente en Google Chrome como muchos otros servicios de la compañía, al final no ha sido así y Google acaba de publicar la versión estable 1.0.154.36 de su navegador, justo cuando cumple 100 días...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • gusano
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • isticado
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • tendoolf
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra