Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Tendoolf. Variante del SubSeven que se autoenvía
 
VSantivirus No. 664 - Año 6 - Jueves 2 de mayo de 2002

W32/Tendoolf. Variante del SubSeven que se autoenvía
http://www.vsantivirus.com/tendoolf.htm

Nombre: W32/Tendoolf
Tipo: Caballo de Troya de Acceso Remoto
Alias: W32.Tendoolf.b, Backdoor.SubSeven, W32/Spambot.A, WORM_SPAMBOT.A, Spambot.A, SPAMBOT, Win32.Floodnet, Win32/Cute.Worm, WORM_TENDOOLF.A
Fecha: 1/may/02
Tamaño: 228,352 bytes o 608,768 bytes
Plataformas: Todos los Windows

Este troyano es una variante del Backdoor.Subseven, un conocido caballo de Troya con caracteristicas de acceso remoto "por la puerta trasera" (backdoor), pero posee como diferencia, el poder propagarse por si solo (gusano) a través del correo electrónico.

También es capaz de eliminar conocidos antivirus y cortafuegos, dejando al usuario indefenso sin saberlo, ante cualquier ataque de código malicioso.

El mensaje infectado que podemos recibir (o enviar si estamos infectados) tiene estas características:

Asunto: Thoughts...

Texto:
I just found this program, and, i dont know why...
but it reminded me of you. check it out.

Datos adjuntos: Cute.exe

Cuando se ejecuta, el gusano intenta enviarse vía correo electrónico a todos los contactos de la libreta de direcciones del Outlook.

Primero, se copia a si mismo en esta ubicación:

C:\Windows\Kernel32.exe

Nota: algunos virus, como el Klez, se copian con el mismo nombre en C:\Windows\System

Luego, el gusano se agrega al registro de Windows para poder ejecutarse en cada reinicio del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows = C:\WINDOWS\KERNEL32.EXE

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows = C:\WINDOWS\KERNEL32.EXE

Modifica en el archivo SYSTEM.INI (en C:\Windows), la línea "shell=Explorer.exe" por la siguiente:

shell=explorer.exe C:\WINDOWS\KERNEL32.EXE

También modifica en el archivo WIN.INI (en C:\Windows), la línea "load=" por la siguiente:

load=C:\WINDOWS\KERNEL32.EXE

Cómo troyano, se conecta a un servidor de IRC (la variante A al canal #CRYPTONIC y la variante B al canal #HELLSPAWN). Desde allí la computadora infectada puede llegar a ser controlada remotamente para enviar correo electrónico, mensajes al MSN Messenger y al AOL Instant Messenger, o lanzar ataques distribuidos de denegación de servicio (D.D.o.S).

El troyano posee además un servidor FTP y otro HTML que pueden ser controlados en forma remota por un atacante, todo a través del puerto 6667.

Otra característica del gusano es eliminar los siguientes procesos si los mismos son encontrados en memoria. Algunos pertenecen a conocidos antivirus y otras aplicaciones de seguridad:

_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
NAVAPW32.EXE
NAVW32.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
IFACE.EXE
ANTS.EXE
Anti-Trojan.exe
iamapp.exe
iamserv.exe
FRW.EXE
blackice.exe
blackd.exe
zonealarm.exe
minilog.exe
vsmon.exe
WrCtrl.exe
WrAdmin.exe
WrCtrl.exe
cleaner3.exe
cleaner.exe
tca.exe
MooLive.exe
lockdown2000.exe
Sphinx.exe
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
PCFWallIcon.EXE
APLICA32.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
CFINET.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
IFACE.EXE
TEMP.EXE
MPGSRV32.EXE
LIBUPDATE.EXE
RunDIl.exe
WinDll.exe
expl32.exe
RunDii.exe
rundli.exe
nvarch16.exe
Mssmmc32.exe

Reparación manual

Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:

1. Actualice sus antivirus

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados por el virus (C:\Windows\Kernel32.exe)

4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

6. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:

"Windows"      "C:\WINDOWS\KERNEL32.EXE"

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

"Windows"      "C:\WINDOWS\KERNEL32.EXE"

9. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

10. Si existe alguna referencia a los archivos del gusano en la línea "run=" bajo la sección [windows], bórrelo.

Por ejemplo:

[Windows]
load=C:\WINDOWS\KERNEL32.EXE

Debe quedar como:

[Windows]
load=

11. Grabe los cambios y salga del bloc de notas.

12. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.

13. Busque lo siguiente:

[boot]
shell=Explorer.exe C:\WINDOWS\KERNEL32.EXE

y si existe, déjelo así:

[boot]
shell=Explorer.exe

14. Grabe los cambios y salga del bloc de notas

15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

16. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Referencias:

VSantivirus No. 672 - 10/may/02
W32/Tendoolf.B. Elimina antivirus y cortafuegos.
http://www.vsantivirus.com/tendoolf-b.htm

VSantivirus No. 246 - 11/mar/01
Trojan: SubSeven.2.2. Ultima versión del peligroso troyano 
http://www.vsantivirus.com/sub722.htm

VSantivirus No. 569 - 28/ene/02
Troj/Sub7.21b. Control total y clandestino del PC
http://www.vsantivirus.com/troj-sub7-21b.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS