Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

   

W32/Tenrobot. Infector de .EXE y troyano backdoor
 
VSantivirus No. 1147 Año 7, Jueves 28 de agosto de 2003

W32/Tenrobot. Infector de .EXE y troyano backdoor
http://www.vsantivirus.com/tenrobot.htm

Nombre: W32/Tenrobot
Tipo: Infector de ejecutables y caballo de Troya (backdoor)
Alias: Tenrobo, Tenrobot, W32/Tenrobo, CIH #1, I-Worm.Swen.A, I-Worm.Swen.A1, I-Worm/Bugbear, I-Worm/Opas.F, I-Worm/Opas.R, PE_TENROBOT.A, PE_TENROBOT.B, PE_TENROBOT.C, Trojan.Win32.OpaKill.A, W32.Swen.A@mm, W32/Bugbear, W32/Bugbear.A@mm, W32/Dupator.1503, W32/Opaserv.E, W32/Tenrobo.4257, W32/Tenrobo.4596, W32/Tenrobo.4720, W32/Tenrobot.4257, W32/Tenrobot.a, W32/Tenrobot.b, W32/Tenrobot.C, W32/Tenrobot.c, W32/Tenrobot.d, W95.CIH, W95.Dupator.1503, W95.Netro.4596, W95.Netro.4720, W95.Netro.4720.B, W95.Netro.4720.C, W95.Tenrobot, W95.Tenrobot.B, W95.Tenrobot.C, W95/Dupator.1503, W95/Tenrobit.B, W95/Tenrobot-A, Win32.Cih, Win32.Dupator.1503, Win32.HLLM.Gibe.2, Win32.Swen.A@mm, Win32.Tenrobot, Win32.Tenrobot.4718, Win32.Tenrobot.A, Win32.Worm.Opaserv.N, Win32.Worm.Opaserv.P, Win32/CIH, Win32/Tenrobot.4718, Win32/Tenrobot.A, Win32/Tenrobot.B, Win32/Tenrobot.C, Win32:Bugbear [Wrm], Win32:Opas-C [Wrm], Win32:Opas-G [Wrm], Win32:Swen [Wrm], Win32:Tenrobot, Win95.CIH.Rest.Gen, Win95.Dupator.1503, Win95.Dupator.1503:corrupt, Win95.Robot.4596, Win95.Robot.4718, Win95.Robot.4723, Win95.Tenrobot, Win95.Tenrobot.a, Win95.Tenrobot.b, Win95.Tenrobot.B, Win95.Tenrobot.c, Win95.Tenrobot.C, Win95/CIH.1003, Win95/Tenrobot, Win95/Tenrobot.A, Win95/Tenrobot.B, Win95/Tenrobot.C, Win95:CIH 1.x, Win95:Dupator, Worm.Bugbear.A, Worm.Opasoft.A, Worm.Opasoft.K, Worm.Swen, Worm.Win32.Opasoft.B, Worm/BugBear.1
Plataformas: Windows 95, 98 y Me
Tamaño: 8,192, 4,257, 4,718 bytes
Fecha: 8/abr/03, 24/abr/03, 10/jun/03

Se trata de un virus residente en memoria y encriptado, que infecta archivos ejecutables con extensión .EXE, cada vez que alguno es abierto. Solo funciona en Windows 95, 98, y ME.

Contiene rutinas con características de caballo de Troya de acceso remoto a través de una puerta trasera (backdoor). Puede recibir comandos vía Internet, a través de una conexión de IRC (Internet Relay Chat), y luego ejecutarlos. Utiliza el puerto 6667.

Cuando un archivo infectado se ejecuta, el virus queda residente en memoria, y luego le pasa el control al archivo original.

Se engancha con las funciones de apertura de archivos del sistema operativo, de modo que intercepta todo archivo con extensión .EXE, cada vez que uno de ellos es abierto por el usuario, o por cualquier otro proceso. Utiliza una función indocumentada de las APIs para ello. Las API (Application Program Interface), son un conjunto de rutinas que un programa de aplicación utiliza para solicitar servicios ejecutados por el sistema operativo.

Evita infectar archivos cuyo nombre contenga la siguiente cadena: PSTORES

El virus agrega su código al final de la última sección del archivo infectado, además de cierta cantidad de bytes "basura", con la única intención de variar el tamaño del archivo con valores al azar.

Existen al menos tres variantes con muy pocas diferencias entre sí:

º W32/Tenrobot.A (3/abr/03) - Tamaño: 8,192 bytes

º W32/Tenrobot.B (24/abr/03) - Tamaño: 4,257 Bytes

La diferencia con la versión A, es que su código se encuentra encriptado.

º W32/Tenrobot.C (10/jun/03) - Tamaño: 4,718 bytes

Su código se encuentra encriptado solo en parte, y utiliza un servidor de IRC diferente para conectarse.

Pueden existir diferencias entre los nombres asignados por cada fabricante de antivirus a cada una de esas versiones.


Reparación manual

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Antivirus

Cómo el virus queda residente en memoria, debe iniciar su PC desde un disquete, y proceder a la limpieza del mismo con un antivirus como el F-Prot, tal como se indica en nuestro sitio:

Cómo ejecutar F-PROT desde disquetes
http://www.vsantivirus.com/fprot-disq.htm


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

04/08/04 - 12:31 -0300 (Cambio de nombre: Tenrobo por Tenrobot)
04/08/04 - 12:31 -0300 (Alias: todos los alias conocidos al 4/8/04)





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS