Autor Tema: W32/Tumbi.T -S-R- Q  (Leído 4419 veces)

Desconectado Danae

  • Administrator
  • *
  • Mensajes: 3210
  • Casi siempre en el armario.
    • windowsfacil,  primeros pasos con windows y el pc
W32/Tumbi.T -S-R- Q
« en: 01 de Junio de 2004, 06:00:04 pm »
W32/Tumbi.T
Tipo: Gusano de Internet
Alias: Tumbi.T, Win32/Tumbi.T, W32/Francette-I, W32/Francette.I-net, W32.Francette.Worm, WORM_FRANCETTE.H, Worm.Win32.Francette.h, Win32/Francette.F
Fecha: 28/may/04
Plataforma: Windows 32-bit
Tamaño: 253,440 bytes
Puertos: TCP 135, 3127, 6669, 6667
Cuando se ejecuta, este gusano crea la siguiente entrada en el registro para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre las entradas que contengan el siguiente nombre de archivo:
Microsoft IIS = syshost.exe
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

W32/Tumbi.S

Tipo: Gusano de Internet
Alias: Tumbi.S, Win32/Tumbi.S, W32/Francette-K, Worm.Win32.Francette.l, W32/Tumbi.worm.gen.b, W32.Francette.Worm, WORM_FRANCETTE.L
Fecha: 26/may/04
Plataforma: Windows 32-bit
Tamaño: 253,440 bytes
Cuando se ejecuta, este gusano crea la siguiente entrada en el registro para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft IIS = syshost.exe
Puertos: TCP 135, 3127, 6669, 6667
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre las entradas que contengan el siguiente nombre de archivo:
Microsoft IIS = syshost.exe
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

W32/Tumbi.R

Tipo: Gusano de Internet
Alias: Tumbi.R, Win32/Tumbi.R, W32/Francette-J, W32/Tumbi.worm.gen.b, W32.Francette.Worm, WORM_FRANCETTE.F
Fecha: 28/may/04
Plataforma: Windows 32-bit
Tamaño: 253,440 bytes
Puertos: TCP 135, 3127, 6669, 6667
Cuando se ejecuta, este gusano crea la siguiente entrada en el registro para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft IIS = c:\[camino completo]+[nombre al azar].exe
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre las entradas que contengan el siguiente nombre:
Microsoft IIS
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

W32/Tumbi.Q
Tipo: Gusano de Internet
Alias: Tumbi.Q, Win32/Tumbi.Q, W32/Francette-L, WORM_FRANCETTE.H
Fecha: 28/may/04
Plataforma: Windows 32-bit
Tamaño: 227,328 bytes
Puertos: TCP 135, 6669, 6667
Cuando se ejecuta, este gusano crea las siguientes entradas en el registro para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Service = [camino y nombre del gusano]
Microsoft IDCN = [camino y nombre del componente troyano]
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre las entradas que contengan los siguientes nombres:
Microsoft Service
Microsoft IDCN
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Estos gusanos, escrito en Borland Delphi y comprimidos con la utilidad ASPack, se aprovecha para propagarse de la vulnerabilidad en los protocolos RPC/DCOM, descripta en los siguientes artículos:
MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htm

Vulnerabilidad RPC/DCOM: MS03-026
http://www.vsantivirus.com/vulms03-026-027-028.htm
También utiliza el acceso creado en equipos previamente infectados con el gusano MyDoom.A, para copiarse en otros equipos.

Abren puertas traseras controlables a través de canales de IRC, lo que permite a un intruso tomar el control total del equipo infectado.

La existencia del archivo SYSHOST.EXE puede ser indicador de una infección, lo que indica la posibilidad de que usuarios no autorizados, puedan controlar la computadora en forma remota.

También escanean los puertos TCP que se describen en cada uno de ellos, buscando equipos previamente infectados con el gusano MyDoom.A para propagarse copiándose a través de la puerta trasera creada por dicho gusano en ese puerto.

Si se conecta a una computadora vulnerable, crea un shell remoto (SHELL - Intérprete de comandos. Interpreta y activa los comandos o utilidades introducidos por el usuario, sirviendo de interfase entre el sistema y el usuario). Desde allí, genera las instrucciones para que el equipo remoto utilice comandos ftp para conectarse a un determinado sitio Web.

Desde ese sitio descarga una versión actualizada de si mismo (syshost.exe), y la ejecuta en la máquina remota, repitiendo el ciclo.

Estos  gusanos se conecta a canales de IRC específicos, de un determinado servidor, para recibir instrucciones remotas, que le permiten a un atacante acciones como las siguientes:
Realizar ataques de denegación de servicio (DoS)
Ejecutar comandos en la máquina infectada
Descargar archivos
Escanear puertos
Realizar ataques de flooding (enviar información basura a canales de IRC)

LIMPIEZA
Desconecte su computadora de la red.
Actualice sus antivirus con las últimas definiciones
Borre las entradas de registro especificadas en cada uno de ellos
Reinicie la computadora

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License