VSantivirus No. 664 - Año 6 - Jueves 2 de mayo de 2002
W32/Tendoolf. Variante del SubSeven que se autoenvía
http://www.vsantivirus.com/tendoolf.htm
Nombre: W32/Tendoolf
Tipo: Caballo de Troya de Acceso Remoto
Alias: W32.Tendoolf.b, Backdoor.SubSeven, W32/Spambot.A,
WORM_SPAMBOT.A, Spambot.A, SPAMBOT, Win32.Floodnet, Win32/Cute.Worm,
WORM_TENDOOLF.A
Fecha: 1/may/02
Tamaño: 228,352 bytes o 608,768 bytes
Plataformas: Todos los Windows
Este troyano es una variante del Backdoor.Subseven, un conocido caballo de Troya con caracteristicas de acceso remoto "por la puerta trasera" (backdoor), pero posee como diferencia, el poder propagarse por si solo (gusano) a través del correo electrónico.
También es capaz de eliminar conocidos antivirus y
cortafuegos, dejando al usuario indefenso sin saberlo, ante
cualquier ataque de código malicioso.
El mensaje infectado que podemos recibir (o enviar si estamos infectados) tiene estas características:
Asunto: Thoughts...
Texto:
I just found this program, and, i dont know why...
but it reminded me of you. check it out.
Datos adjuntos: Cute.exe
Cuando se ejecuta, el gusano intenta enviarse vía correo electrónico a todos los contactos de la libreta de direcciones del Outlook.
Primero, se copia a si mismo en esta ubicación:
C:\Windows\Kernel32.exe
Nota: algunos virus, como el Klez, se copian con el mismo nombre en
C:\Windows\System
Luego, el gusano se agrega al registro de Windows para poder ejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows = C:\WINDOWS\KERNEL32.EXE
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows = C:\WINDOWS\KERNEL32.EXE
Modifica en el archivo SYSTEM.INI (en
C:\Windows), la línea "shell=Explorer.exe" por la siguiente:
shell=explorer.exe C:\WINDOWS\KERNEL32.EXE
También modifica en el archivo WIN.INI (en
C:\Windows), la línea "load=" por la siguiente:
load=C:\WINDOWS\KERNEL32.EXE
Cómo troyano, se conecta a un servidor de IRC (la variante A al canal
#CRYPTONIC y la variante B al canal #HELLSPAWN). Desde allí la computadora infectada puede llegar a ser controlada remotamente para enviar correo electrónico, mensajes al MSN Messenger y al AOL Instant Messenger, o lanzar ataques distribuidos de denegación de servicio (D.D.o.S).
El troyano posee además un servidor FTP y otro HTML que pueden ser controlados en forma remota por un atacante, todo a través del
puerto 6667.
Otra característica del gusano es eliminar los siguientes procesos si los mismos son encontrados en memoria. Algunos pertenecen a conocidos antivirus y otras aplicaciones de
seguridad:
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
NAVAPW32.EXE
NAVW32.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
IFACE.EXE
ANTS.EXE
Anti-Trojan.exe
iamapp.exe
iamserv.exe
FRW.EXE
blackice.exe
blackd.exe
zonealarm.exe
minilog.exe
vsmon.exe
WrCtrl.exe
WrAdmin.exe
WrCtrl.exe
cleaner3.exe
cleaner.exe
tca.exe
MooLive.exe
lockdown2000.exe
Sphinx.exe
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
PCFWallIcon.EXE
APLICA32.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
CFINET.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
IFACE.EXE
TEMP.EXE
MPGSRV32.EXE
LIBUPDATE.EXE
RunDIl.exe
WinDll.exe
expl32.exe
RunDii.exe
rundli.exe
nvarch16.exe
Mssmmc32.exe
Reparación manual
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados por el virus
(C:\Windows\Kernel32.exe)
4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
6. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre la siguiente entrada:
"Windows"
"C:\WINDOWS\KERNEL32.EXE"
7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
"Windows"
"C:\WINDOWS\KERNEL32.EXE"
9. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
10. Si existe alguna referencia a los archivos del gusano en la línea
"run=" bajo la sección [windows], bórrelo.
Por ejemplo:
[Windows]
load=C:\WINDOWS\KERNEL32.EXE
Debe quedar como:
[Windows]
load=
11. Grabe los cambios y salga del bloc de notas.
12. Desde Inicio, Ejecutar, teclee SYSTEM.INI y pulse Enter.
13. Busque lo siguiente:
[boot]
shell=Explorer.exe C:\WINDOWS\KERNEL32.EXE
y si existe, déjelo así:
[boot]
shell=Explorer.exe
14. Grabe los cambios y salga del bloc de notas
15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
16. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione
"Vaciar la papelera de reciclaje".
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Referencias:
VSantivirus No. 672 - 10/may/02
W32/Tendoolf.B. Elimina antivirus y cortafuegos.
http://www.vsantivirus.com/tendoolf-b.htm
VSantivirus No. 246 - 11/mar/01
Trojan: SubSeven.2.2. Ultima versión del peligroso troyano
http://www.vsantivirus.com/sub722.htm
VSantivirus No. 569 - 28/ene/02
Troj/Sub7.21b. Control total y clandestino del PC
http://www.vsantivirus.com/troj-sub7-21b.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
