publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Tearec.A

Virus Tearec.A

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad media Propagación Propagación baja Daño Daño muy alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Tearec.A realiza las siguientes acciones:

  • Los días 3 de cada mes, Tearec.A sobreescribe todos los archivos que contengan cualquiera de las siguientes extensiones:
    .DMP, .DOC, .MDB, .MDE, .PDF, .PPS, .PPT, .PSD, .RAR, .XLS y .ZIP.
    sobreescribiéndolos por la cadena de texto DATA Error [47 0F 94 93 F4 K5].

    Dichas extensiones corresponden a los siguientes tipos de archivo:
    - .DMP: Windows memory dump.
    - .DOC: documentos de Word.
    - .MDB: bases de datos de Access.
    - .MDE: bases de datos MDE de Access.
    - .PDF: documentos de Acrobat Reader.
    - .PPS: presentaciones de Power Point.
    - .PPT: presentaciones de Power Point.
    - .PSD: imágenes de Photoshop.
    - .RAR: archivos comprimidos mediante WinRAR.
    - .XLS: documentos de Excel.
    - .ZIP: archivos comprimidos mediante WinZip.
  • Deshabilita varios programas, que pertenecen a programas antivirus, programas de intercambio de archivos punto a punto (P2P) y aplicaciones de Internet, ya que borra los siguientes archivos:
    - Todos los archivos de las siguientes subcarpetas:
    Archivos de Programa\Symantec\LiveUpdate
    Archivos de Programa\Symantec\CommonFiles\Symantec Shared
    Archivos de Programa\McAfee.com\Agent
    Archivos de Programa\McAfee.com\shared
    - Todos los archivos con extensión EXE de las siguientes subcarpetas:
    Archivos de Programa\Norton Antivirus
    Archivos de Programa\Alwil Software\Avast4
    Archivos de Programa\McAfee.com\VSO
    Archivos de Programa\Trend Micro\PC-cillin 2002
    Archivos de Programa\Trend Micro\PC-cillin 2003
    Archivos de Programa\Trend Micro\Internet Security
    Archivos de Programa\NavNT
    Archivos de Programa\Kaspersky Lab\Kaspersky Anti-Virus Personal
    Archivos de Programa\Trend Micro\OfficeScan Client
    - Todos los archivos con extensión DLL de las siguientes subcarpetas:
    Archivos de Programa\DAP
    Archivos de Programa\BearShare
    Archivos de Programa\Morpheus
    Archivos de Programa\Grisoft\AVG7
    Archivos de Programa\TREND MICRO\OfficeScan
    - Todos los archivos con extensión PPL de la subcarpeta Archivos de Programa\Kaspersky Lab\Kaspersky Anti-Virus Personal
    - LIMEWIRE.JAR de la subcarpeta Archivos de Programa\LimeWire\LimeWire 4.2.6
  • Si el ordenador afectado pertenece a un red de ordenadores, elimina todos los archivos de las siguientes ubicaciones:
    C$\Program Files\Norton AntiVirus
    C$\Archivos de Programa\Common Files\symantec shared
    C$\Archivos de Programa\Symantec\LiveUpdate
    C$\Archivos de Programa\McAfee.com\VSO
    C$\Archivos de Programa\McAfee.com\Agent
    C$\Archivos de Programa\McAfee.com\shared
    C$\Archivos de Programa\Trend Micro\PC-cillin 2002
    C$\Archivos de Programa\Trend Micro\PC-cillin 2003
    C$\Archivos de Programa\Trend Micro\Internet Security
    C$\Archivos de Programa\NavNT
    C$\Archivos de Programa\Panda Software\Panda Antivirus Platinum
    C$\Archivos de Programa\Kaspersky Lab\Kaspersky Anti-Virus Personal
    C$\Archivos de Programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro
    C$\Archivos de Programa\Panda Software\Panda Antivirus 6.0
    C$\Archivos de Programa\CA\eTrust EZ Armor\eTrust EZ Antivirus
    Esto implica que estos archivos serán eliminados de los ordenadores pertenecientes a la misma red que el sistema afectado.
  • Finaliza los programas, cuyo nombre contenga una de las siguientes cadenas de texto:
    FIX
    KASPERSKY
    MCAFEE
    NORTON
    REMOVAL
    SCAN
    SYMANTEC
    TREND MICRO
    VIRUS
  • Monitoriza el tráfico de red en las siguientes conexiones para obtener contraseñas:
    @HOTMAIL
    @HOTPOP
    @YAHOOGROUPS
    ANTI
    AVG
    BLOCKSENDER
    CA.COM
    CILLIN
    EEYE
    GMAIL.COM
    GROUPS.MSN
    HOTMAIL
    MICROSOFT
    MSN
    MYWAY
    NOMAIL.YAHOO.COM
    PANDA
    SCRIBE
    SECUR
    SPAM
    TREND
    YAHOO! MAIL
    YAHOOGROUPS
  • Se conecta a la página web http://webstats.web.rcn.net para saber el número de infecciones que Tearec.A ha realizado.

Metodo de infección:

Tearec.A crea los siguientes archivos:

  • SCANREGW.EXE, UPDATE.EXE, WINZIP.EXE y WINZIP_TMP.EXE en el directorio de sistema de Windows. Estos archivos son copias del gusano.
  • RUNDLL16.EXE y WINZIP_TMP.EXE en el directororio de Windows, que también son copias del gusano.
  • SAMPLE.ZIP en el directorio de sistema de Windows.

 

Tearec.A crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    ScanRegistry = scanregw.exe /scan
    Mediante esta entrada, Tearec.A consigue ejecutarse cada vez que Windows se inicia.

 

Además, Tearec.A crea entradas en las siguientes rutas del Registro de Windows:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 5f54e750-ce26-11cf-8e43-00a0c911005a
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ F4FC596D-DFFE-11CF-9551-00AA00A3DC45
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 190B7910-992A-11cf-8AFA-00AA00C00905
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 72E67120-5959-11cf-91F6-C2863C385E30
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 096EFC40-6ABF-11cf-850C-08002B30345D
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 556C75F1-EFBC-11CF-B9F3-00A0247033C4
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 4D553650-6ABE-11cf-8ADB-00AA00C00905
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 57CBF9E0-6AA7-11cf-8ADB-00AA00C00905
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 9E799BF1-8817-11cf-958F-0020AFC28C3B
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 78E1BDD1-9941-11cf-9756-00AA00C00908
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ DC4D7920-6AC8-11cf-8ADB-00AA00C00905
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 7C35CA30-D112-11cf-8E72-00A0C90F26F8
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 2c49f800-c2dd-11cf-9ad6-0080c7e7b78d
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 899B3E80-6AC6-11cf-8ADB-00AA00C00905
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ B1EFCCF0-6AC1-11cf-8ADB-00AA00C00905
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 6FB38640-6AC7-11cf-8ADB-00AA00C00905
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ E32E2733-1BC5-11d0-B8C3-00A0C90DCA10
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 4250E830-6AC2-11cf-8ADB-00AA00C00905
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ BC96F860-9928-11cf-8AFA-00AA00C00905
    Tearec.A crea estas entradas para registrar y utilizar un control ActiveX que le permite gestionar sockets.

 

Tearec.A modifica las siguientes entradas del Registro de Windows:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses
    Mediante esta modificación, Tearec.A deshabilita las actualizaciones automáticas para los ordenadores con Windows XP Service Pack 2.
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ InternetExplorer\ Main
    NotifyDownloadComplete = 7562617
    Mediante esta modificación, Tearec.A evita que el usuario pueda visualizar la notificación que se muestra cuando la descarga se ha completado.
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
    ShowSuperHidden = 00000000
    Tearec.A activa la opción de no mostrar los archivos ocultos en el Explorador de Windows.
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
    WebView = 00000000
    Mediante esta modificación, se deshabilita la opción Vista Web en el Explorador de Windows.
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ CabinetState
    FullPath = 00000000
    Este valor deshabilita la opción de visualizar la ruta completa en el Explorador de Windows.

Metodo de propagación:

Tearec.A se propaga a través de correo electrónico y de redes de ordenadores.

1.- Propagación por correo electrónico.

  • Tearec.A llega al ordenador en un mensaje de correo escrito en inglés con alguna de las siguientes características:
    - Asunto: puede ser uno de los siguientes:
    *Hot Movie*
    A Great Video
    Arab sex DSC-00465.jpg
    eBook.pdf
    Fw: DSC-00465.jpg
    Fw: Funny :)
    Fw: Picturs
    Fw: Real show
    Fw: SeX.mpg
    Fw: Sexy
    Fwd: Crazy illegal Sex!
    Fwd: image.jpg
    Fwd: Photo
    give me a kiss
    Miss Lebanon 2006
    My photos
    Part 1 of 6 Video clipe
    Photos
    School girl fantasies gone bad

    - Contenido: uno de los siguientes
    >> forwarded message
    forwarded message attached.
    Fuckin Kama Sutra pics
    hello,
    Helloi attached the details.
    Hot XXX Yahoo Groups
    how are you?
    i just any one see my photos.
    i send the details.
    i send the file.
    It's Free :)
    Note: forwarded message attached. You Must View This Videoclip!
    Please see the file.
    Re: Sex Video
    ready to be FUCKED ;)
    Thank you
    The Best Videoclip Ever
    the file i send the details
    VIDEOS! FREE! (US$ 0,00)
    What?

    - Archivos adjuntos: uno de los siguientes
    007.PIF
    392315089702606E-02,.SCR
    677.PIF
    ADULTS_9,ZIP.SCR
    ATT01.ZIP.SCR
    ATTACHMENTS[001],B64.SCR
    CLIPE,ZIP.SCR
    DOCUMENT.PIF
    DSC-00465.PIF
    DSC-00465.PIF
    EBOOK.PIF
    IMAGE04.PIF
    NEW VIDEO,ZIP
    NEW_DOCUMENT_FILE.PIF
    PHOTO.PIF
    PHOTOS,ZIP.SCR
    SCHOOL.PIF
    SEX,ZIP.SCR
    SEX.MIM
    VIDEO_PART.MIM
    WINZIP,ZIP.SCR
    WINZIP.BHX
    WINZIP.ZIP.SCR
    WORD XP.ZIP.SCR
    WORD.ZIP.SCR
  • El ordenador queda afectado cuando el usuario ejecuta el archivo adjunto.
  • Tearec.A busca direcciones de correo electrónico en varios archivos del ordenador.
  • Después, envía una copia de sí mismo a las direcciones que ha recogido utilizando su propio motor SMTP.

 

2.- Propagación mediante redes de ordenadores.

  • Si el ordenador afectado forma parte de una red, Tearec.A intenta acceder a los recursos compartidos de red como:
    - C$\documents and settings\all users\start menu\programs\startup, que es el directorio de Inicio.
    - Admin$
    - C$
  • Para ello, emplea nombres de usuario y contraseñas que son típicas o fáciles de adivinar.
  • Si consigue acceder, Tearec.A realiza copias de sí mismo en recursos compartidos como:
    - C$\documents and settings\all users\start menu\programs\startup\winzip quick pick.exe
    - Admin$\winzip_tmp.exe
    - C$\winzip_tmp.exe

Otros detalles:

Tearec.A está escrito en el lenguaje de programación Visual Basic v5. Este gusano tiene un tamaño de 95690 Bytes y está comprimido mediante UPX.
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork