| ¿Quién está en línea? | En total hay 11 usuarios en línea: 0 Registrados, 0 Ocultos y 11 Invitados Ninguno El record de usuarios en línea fue de 56 durante el Lun Ene 15, 2024 7:05 am |
| | | [Ultima Amenaza] Tilebot.GZ (Peligrosidad: 3-Media) |  |
| | | Autor | Mensaje |
|---|
|AM| FrAnKKo
Administrador
Cantidad de envíos : 1254
Edad : 30
Empleo /Ocio : Estudiante
Humor : Exelente!!!
Celular : Motorola SLVR L7
Pais : ![[Ultima Amenaza] Tilebot.GZ (Peligrosidad: 3-Media) Argent10](https://i.servimg.com/u/f40/12/40/37/78/argent10.png)
Fecha de inscripción : 17/05/2008
![[Ultima Amenaza] Tilebot.GZ (Peligrosidad: 3-Media) Empty](https://2img.net/i/empty.gif) |  Tema: [Ultima Amenaza] Tilebot.GZ (Peligrosidad: 3-Media) ![[Ultima Amenaza] Tilebot.GZ (Peligrosidad: 3-Media) I_icon_minitime](https://2img.net/s/t/11/62/03/i_icon_minitime.gif) Dom Jul 20, 2008 3:08 pm | |
| Tilebot.GZ es un gusano/puerta trasera,
que se propaga en redes con recursos compartidos configuradas con
contraseñas débiles. Explota conocidas vulnerabilidades de
desbordamiento de memoria reportadas en los Boletines MS03-049:
Servicios de Estaciones de Trabajo, MS04-007, Proceso de la Librería
ASN.1, MS05-039: Plug and Play de Windows y MS06-040: Servicios de
Servidor.Solución
1.
Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección,
puede usar la característica de 'Restauración del Sistema' para
eliminar el virus volviendo a un punto de restauración anterior a la
infección. (Tenga en cuenta que se desharán los cambios de
configuración de Windows y se eliminarán todos los archivos ejecutables
que haya creado o descargado desde la fecha del punto de restauración).
Ayuda para utilizar la opción de Restauración en Windows XP.
Si
esto no es posible o no funciona es recomendable desactivar
temporalmente la Restauración del Sistema antes de eliminar el virus
por otros medios, ya que podría haberse creado una copia de seguridad
del virus. Si necesita ayuda vea desactivar restauración del sistema en
Windows Me o en Windows XP.
2. Con un antivirus actualizado,
localice todas las copias del virus en el disco duro de su PC. Si no
dispone de antivirus, visite nuestra página de Antivirus gratuitos.
Repare o borre el fichero infectado.
Si el antivirus no puede
reparar la infección o borrar los ficheros, puede ser debido a que el
fichero está en uso por estar el virus en ejecución (residente en
memoria).
Nota: A Menudo los antivirus
informan de que 'no puede reparar un fichero' en el caso de gusanos o
troyanos debido a que no hay nada que reparar, simplemente hay que
borrar el fichero.
3. Descargue e instale los parches para las siguientes vulnerabilidades:
* Microsoft Security Bulletin MS03-049
* Microsoft Security Bulletin MS04-007
* Microsoft Security Bulletin MS05-039
* Microsoft Security Bulletin MS06-040
4. En el caso de que no se pueda eliminar el fichero del virus, debe
terminar manualmente el proceso en ejecución del virus. Abra el
Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows
98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP,
en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione
'Terminar Proceso'. A continuación vuelva a intentar el borrado o
reparación del fichero. Para más información consulte Eliminar
librerías .DLL o .EXE.
Elimine los siguientes archivos:
* %Windir%\lsass.exe
* %System%\rdriv.sys
Notas:%Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).
%System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32
(Windows NT/2000), o C:\Windows\System32 (Windows XP).
5. A
continuación hay que editar el registro para deshacer los cambios
realizados por el virus. Si necesita información sobre cómo editar el
registro puede ver esta guía de edición del registro o este vídeo de
ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular
el registro. Si modifica ciertas claves de manera incorrecta puede
dejar el sistema inutilizable.
Elimine las siguientes claves del registro y todo su contenido:
Clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lsass
Clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv
Restaure las siguientes entradas del registro al valor que tuviese anteriormente:
Clave:HKLM\SYSTEM\CurrentControlSet\Services\Messenger
Valor:Start = 4
Clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry
Valor:Start = 4
Clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr
Valor:Start = 4
Clave:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
Valor:DoNotAllowXPSP2 = 1
Clave:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
Valor:EnableDCOM = N
Clave:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
Valor:restrictanonymous = 1
Clave:HKLM\SOFTWARE\Microsoft\Security Center
Clave:HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
Clave:HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
6. Reinicie su ordenador y explore todo el disco duro con un antivirus
para asegurarse de la eliminación del virus. Si desactivó la
restauración del sistema, recuerde volver a activarla.
![[Ultima Amenaza] Tilebot.GZ (Peligrosidad: 3-Media) R6zn6b](https://2img.net/h/oi35.tinypic.com/r6zn6b.jpg)
Método de Infección/Efectos
Al llegar al equipo se copia al directorio:
* %Windir%\lsass.exe
Nota:%Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).
Crea el fichero:
* %System%\rdriv.sys
Nota:%System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Registra
a %Windir%\lsass.exe como un servicio de driver del sistema de nombre
lsass, con la propiedad de activación automática y mostrando el nombre
de Local Security Authority Subsystem Service.
Este proceso es oculto y crea valores en la clave del registro:
Clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lsass
El archivo %System%\rdriv.sys se registra como otro servicio de driver del sistema de nombre rdriv, creando valores en la clave:
Clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv
Al siguiente inicio del equipo, para impedir la ejecución automática del Messenger y otros programas, crea la sub-clave:
Clave:HKLM\SYSTEM\CurrentControlSet\Services\Messenger
Valor:Start = 4
para deshabilitar el Editor del Registro crea las sub-claves:
Clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry
Valor:Start = 4
Clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr
Valor:Start = 4
Para impedir las actualizaciones de MS Windows XP SP2 crea la sub-clave:
Clave:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
Valor:DoNotAllowXPSP2 = 1
Para deshabilitar el DCOM crea la sub-clave:
Clave:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
Valor:EnableDCOM = N
Para permitir el ingreso de usuarios anónimos crea la sub-clave:
Clave:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
Valor:restrictanonymous = 1
Para desestabilizar el sistema agrega valores a las claves:
Clave:HKLM\SOFTWARE\Microsoft\Security Center
Clave:HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
Clave:HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
El
gusano se ejecuta de forma contínua en segundo plano y activa una
puerta trasera, la cual se conecta a diversos canales del IRC (Internet
Chat Relay) permitiéndo ejecutar a los intrusos, cualquiera de las
siguientes acciones:
* Rastrear redes con vulnerabilidades
* Descargar y ejecutar archivos malignos
* Ingresar a redes con recursos compartidos
* Robar información del sistema
Método de Propagación
Se propaga en redes con recursos compartidos configuradas con contraseñas débiles.
Explota conocidas vulnerabilidades de desbordamiento de memoria reportadas en los Boletines:
* MS03-049: Servicios de Estaciones de Trabajo
* MS04-007: Proceso de la Librería ASN.1
* MS05-039: Plug and Play de Windows
* MS06-040: Servicios de Servidor | |
| | | | | | [Ultima Amenaza] Tilebot.GZ (Peligrosidad: 3-Media) | |
|
Temas similares |  |
|
| | Permisos de este foro: | No puedes responder a temas en este foro.
| |
| |
| Flujo  | |
|
