¿Quién está en línea? | En total hay 11 usuarios en línea: 0 Registrados, 0 Ocultos y 11 Invitados Ninguno El record de usuarios en línea fue de 56 durante el Lun Ene 15, 2024 7:05 am |
| | [Ultima Amenaza] Tilebot.GZ (Peligrosidad: 3-Media) | |
| | Autor | Mensaje |
---|
|AM| FrAnKKo Administrador
Cantidad de envíos : 1254 Edad : 30 Empleo /Ocio : Estudiante Humor : Exelente!!! Celular : Motorola SLVR L7 Pais : Fecha de inscripción : 17/05/2008
| Tema: [Ultima Amenaza] Tilebot.GZ (Peligrosidad: 3-Media) Dom Jul 20, 2008 3:08 pm | |
| Tilebot.GZ es un gusano/puerta trasera, que se propaga en redes con recursos compartidos configuradas con contraseñas débiles. Explota conocidas vulnerabilidades de desbordamiento de memoria reportadas en los Boletines MS03-049: Servicios de Estaciones de Trabajo, MS04-007, Proceso de la Librería ASN.1, MS05-039: Plug and Play de Windows y MS06-040: Servicios de Servidor.Solución
1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de 'Restauración del Sistema' para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Ayuda para utilizar la opción de Restauración en Windows XP.
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar restauración del sistema en Windows Me o en Windows XP.
2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
3. Descargue e instale los parches para las siguientes vulnerabilidades:
* Microsoft Security Bulletin MS03-049 * Microsoft Security Bulletin MS04-007 * Microsoft Security Bulletin MS05-039 * Microsoft Security Bulletin MS06-040
4. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero. Para más información consulte Eliminar librerías .DLL o .EXE.
Elimine los siguientes archivos:
* %Windir%\lsass.exe * %System%\rdriv.sys
Notas:%Windir% es una variable que hace referencia al directorio de instalación de Windows. Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000). %System% es una variable que hace referencia al directorio del sistema de Windows. Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
5. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Elimine las siguientes claves del registro y todo su contenido:
Clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lsass
Clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv
Restaure las siguientes entradas del registro al valor que tuviese anteriormente:
Clave:HKLM\SYSTEM\CurrentControlSet\Services\Messenger Valor:Start = 4
Clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry Valor:Start = 4
Clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr Valor:Start = 4
Clave:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate Valor:DoNotAllowXPSP2 = 1
Clave:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole Valor:EnableDCOM = N
Clave:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa Valor:restrictanonymous = 1
Clave:HKLM\SOFTWARE\Microsoft\Security Center
Clave:HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
Clave:HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
6. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Detalles
Método de Infección/Efectos
Al llegar al equipo se copia al directorio:
* %Windir%\lsass.exe
Nota:%Windir% es una variable que hace referencia al directorio de instalación de Windows. Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).
Crea el fichero:
* %System%\rdriv.sys
Nota:%System% es una variable que hace referencia al directorio del sistema de Windows. Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Registra a %Windir%\lsass.exe como un servicio de driver del sistema de nombre lsass, con la propiedad de activación automática y mostrando el nombre de Local Security Authority Subsystem Service.
Este proceso es oculto y crea valores en la clave del registro:
Clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lsass
El archivo %System%\rdriv.sys se registra como otro servicio de driver del sistema de nombre rdriv, creando valores en la clave:
Clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv
Al siguiente inicio del equipo, para impedir la ejecución automática del Messenger y otros programas, crea la sub-clave:
Clave:HKLM\SYSTEM\CurrentControlSet\Services\Messenger Valor:Start = 4
para deshabilitar el Editor del Registro crea las sub-claves:
Clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry Valor:Start = 4
Clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr Valor:Start = 4
Para impedir las actualizaciones de MS Windows XP SP2 crea la sub-clave:
Clave:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate Valor:DoNotAllowXPSP2 = 1
Para deshabilitar el DCOM crea la sub-clave:
Clave:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole Valor:EnableDCOM = N
Para permitir el ingreso de usuarios anónimos crea la sub-clave:
Clave:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa Valor:restrictanonymous = 1
Para desestabilizar el sistema agrega valores a las claves:
Clave:HKLM\SOFTWARE\Microsoft\Security Center
Clave:HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
Clave:HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
El gusano se ejecuta de forma contínua en segundo plano y activa una puerta trasera, la cual se conecta a diversos canales del IRC (Internet Chat Relay) permitiéndo ejecutar a los intrusos, cualquiera de las siguientes acciones:
* Rastrear redes con vulnerabilidades * Descargar y ejecutar archivos malignos * Ingresar a redes con recursos compartidos * Robar información del sistema
Método de Propagación
Se propaga en redes con recursos compartidos configuradas con contraseñas débiles.
Explota conocidas vulnerabilidades de desbordamiento de memoria reportadas en los Boletines:
* MS03-049: Servicios de Estaciones de Trabajo * MS04-007: Proceso de la Librería ASN.1 * MS05-039: Plug and Play de Windows * MS06-040: Servicios de Servidor | |
| | | | [Ultima Amenaza] Tilebot.GZ (Peligrosidad: 3-Media) | |
|
Temas similares | |
|
| Permisos de este foro: | No puedes responder a temas en este foro.
| |
| |
| Flujo | |
|