Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Tendoolf.B. Elimina antivirus y cortafuegos
 
VSantivirus No. 672 - Año 6 - Viernes 10 de mayo de 2002

 W32/Tendoolf.B. Elimina antivirus y cortafuegos
http://www.vsantivirus.com/tendoolf-b.htm

Nombre: W32/Tendoolf.B
Tipo: Caballo de Troya de Acceso Remoto y gusano
Alias: W32.Tendoolf.b, Backdoor.SubSeven, W32/Spambot.B, WORM_SPAMBOT.B, Spambot.B, SPAMBOT, Win32.Floodnet, Win32/Cute.Worm, WORM_TENDOOLF.B
Fecha: 8/may/02
Tamaño: 590,848 bytes
Plataformas: Todos los Windows

Este troyano es una variante del W32/Tendoolf.A, un conocido caballo de Troya (Backdoor.Subseven), con características de acceso remoto "por la puerta trasera" (backdoor), y capaz de eliminar conocidos antivirus y cortafuegos, dejando al usuario indefenso sin saberlo, ante cualquier ataque de código malicioso.

También puede propagarse por si solo (como un gusano) a través del correo electrónico.

Utiliza para ello el Microsoft Outlook y también los programas de mensajería instantánea, AOL Instant Messenger y MSN Messenger.

Se copia a si mismo como KERNEL32.EXE en la máquina que infecta, y modifica el registro de Windows para ejecutarse en cada reinicio del sistema.

El mensaje que utiliza para propagarse se presenta así:

Asunto: Thoughts...

Texto:
I just found this program, and, I don't know why...
but it reminded me of you. Check it out.

Datos adjuntos: Cute.exe

La versión B es una variante actualizada del W32/Tendoolf, cuyas principales diferencias son:

- Variante A utiliza el icono del WinZip

- Variante B usa el icono estándar de un archivo de imagen

En ambos casos se simula el troyano con un icono usado por archivos normales.

- Variante A se conecta a puerto 6667 a la dirección IP xxxx.158.152.66

- Variante B se conecta también por el puerto 6667 pero al sitio wolfpack.no-ip.com

- Variante A puede conectarse al canal de IRC #CRYPTONIC

- Variante B se conecta al canal de IRC #HELLSPAWN

Cuando el usuario ejecuta el adjunto CUTE.EXE, el virus se activa y se copia con el nombre de Kernel32.exe en el directorio de Windows:

C:\Windows\Kernel32.exe

Nota: algunos virus, como el Klez, se copian con el mismo nombre en C:\Windows\System

Luego modifica las siguientes entradas del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Windows = C:\Windows\Kernel32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Windows = C:\Windows\Kernel32.exe

También modifica el archivo WIN.INI agregando esta línea en la sección [windows]:

[windows]
Load=C:\Windows\Kernel32.exe

Modifica además al archivo SYSTEM.INI agregando lo siguiente bajo la sección [boot]:

[boot]
Shell=C:\Windows\Kernel32.exe

Otras claves modificadas por el gusano en el registro de Windows:

HKEY_CLASSES_ROOT\.vx
Content Type=application/x-msdownload
@=NeverShowExt
@=exefile

El gusano puede propagarse también a través del AOL Instant messenger y MSN Messenger.

Cómo troyano, se conecta a un servidor de IRC (la variante A al canal #CRYPTONIC y la variante B al canal #HELLSPAWN). Desde allí la computadora infectada puede llegar a ser controlada remotamente para enviar correo electrónico, mensajes al MSN Messenger y al AOL Instant Messenger, o lanzar ataques distribuidos de denegación de servicio (D.D.o.S).

El troyano posee además un servidor FTP y otro HTML que pueden ser controlados en forma remota por un atacante, todo a través del puerto 6667.

Otra característica del gusano es eliminar los siguientes procesos si los mismos son encontrados en memoria. Algunos pertenecen a conocidos antivirus y otras aplicaciones de seguridad:

_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
NAVAPW32.EXE
NAVW32.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
IFACE.EXE
ANTS.EXE
Anti-Trojan.exe
iamapp.exe
iamserv.exe
FRW.EXE
blackice.exe
blackd.exe
zonealarm.exe
minilog.exe
vsmon.exe
WrCtrl.exe
WrAdmin.exe
WrCtrl.exe
cleaner3.exe
cleaner.exe
tca.exe
MooLive.exe
lockdown2000.exe
Sphinx.exe
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
PCFWallIcon.EXE
APLICA32.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
CFINET.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
IFACE.EXE
TEMP.EXE
MPGSRV32.EXE
LIBUPDATE.EXE
RunDIl.exe
WinDll.exe
expl32.exe
RunDii.exe
rundli.exe
nvarch16.exe
Mssmmc32.exe

* Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados por el virus (C:\Windows\Kernel32.exe)

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

6. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:

"Windows" "C:\WINDOWS\KERNEL32.EXE"

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

"Windows" "C:\WINDOWS\KERNEL32.EXE"

9. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\.vx

10. Pinche en la carpeta ".vx" y bórrela.

11. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

12. Si existe alguna referencia a los archivos del gusano en la línea "run=" bajo la sección [windows], bórrelo.

Por ejemplo:

[Windows]
load=C:\WINDOWS\KERNEL32.EXE

Debe quedar como:

[Windows]
load=

13. Grabe los cambios y salga del bloc de notas.

14. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

15. Busque lo siguiente:

[boot]
shell=Explorer.exe C:\WINDOWS\KERNEL32.EXE

y si existe, déjelo así:

[boot]
shell=Explorer.exe

16. Grabe los cambios y salga del bloc de notas

17. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

18. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Referencias:

VSantivirus No. 664 - 2/may/02
W32/Tendoolf. Variante del SubSeven que se autoenvía
http://www.vsantivirus.com/tendoolf.htm

VSantivirus No. 246 - 11/mar/01
Trojan: SubSeven.2.2. Ultima versión del peligroso troyano 
http://www.vsantivirus.com/sub722.htm

VSantivirus No. 569 - 28/ene/02
Troj/Sub7.21b. Control total y clandestino del PC
http://www.vsantivirus.com/troj-sub7-21b.htm


Glosario:

D.D.o.S (Distributed Denial of Service). Ataques de negación de servicio distribuidos. En lugar de una sola computadora, se utilizan cientos o hasta miles de ellas, todas actuando al mismo tiempo contra una misma víctima, un servidor o cualquier computadora conectada a Internet, la que recibe una sucesión de solicitudes de servicio, con tal frecuencia y cantidad, que al no poder ser respondidas van disminuyendo paulatinamente su rendimiento, ocasionando casi siempre la caída del sistema, además de la saturación del ancho de banda asignado.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS