Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm.W32/Tzet

Alias:
Win32/Tzet.A (Enciclopedia Virus (Ontinent)), W32.Tzet.Worm (Symantec)

Descripción:
Gusano que intenta propagarse a otros sistemas conectados a Internet que tengan contraseñas débiles de administrador o de usuarios por defecto (como 'guest').

Además contiene una puerta trasera que permite al atacante remoto redirigir su tráfico de red a través del sistema infectado.

Detalles:
Cuando Worm.W32/Tzet se ejecuta, intenta infectar aleatoriamente otras máquinas conectadas a Internet, con contraseñas por defecto.

Utiliza un archivo .BAT y una aplicación legal de Sysinternals, para realizar la copia y luego ejecutarse en el equipo remoto.

Para realizar el intento de infectar un equipo, examina las siguientes cuentas de usuario con una lista de contraseñas predefinidas (incluido solo Enter):

  • admin
  • Administrador
  • Administrateur
  • Administrator
  • cs
  • database
  • guest
  • network
  • root
  • sql
  • sqladmin
  • sqlagent
  • student
  • teacher
  • test
  • user
  • wwwadmin
  • wwwroot

Cuando se ejecuta en la computadora infectada, crea los siguientes archivos en el directorio C:\winnt\system32 o C:\windows\system32, dependiendo del sistema operativo:
  • Authexec.Bat
  • Iglmtray.Exe
  • Iglxtray.Exe
  • Lrss.Ini
  • Mdde32.Exe
  • Net.Bat
  • Nna.Exe
  • Printf_core.Exe
  • Vidriv.Exe
  • Wmpt.Exe
  • Wsubsys.Wav
  • Xcopy.Dll

Para ejecutarse automáticamente cada vez que el sistema es reiniciado, el gusano añade el valor mencionado a continuación, a la siguiente clave del registro de Windows: 
Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
Valor: WUPD = c:\windows\system32\iglmtray.exe
Por último, y tras intentar realizar las infe4cciones buscando otros sistemas en Internet, el gusano se registra en canales de IRC para avisar al atacante de que esta listo.

La conexión es realizada a alguno de los siguientes servidores IRC:
  • cms.tmclan.net:7648
  • lms.tmclan.net:7648
  • rms.tmclan.net:7648
Cuando la conexión se establece, el gusano se une a un canal controlado por el atacante.

El componente troyano permite a un intruso conectarse a la máquina infectada a través de una puerta trasera, tomando el control de ésta. Algunas posibles acciones a realizar son:
  • Lanzar ataques de denegación de servicio (DoS).
  • Reenviar todo el tráfico HTTP a través del equipo.
  • Robar los archivos de registro de populares juegos.

Solución:

Uso de antivirus actualizado.

Más información acerca de este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados