|
Efectos:
Tenga.A realiza las siguientes acciones: - Comprueba si la conexión a Internet está activa. Para ello, intenta resolver el dominio vx9.users.freebsd.at.
- Si lo está, descarga y ejecuta un archivo llamado DL.EXE del sitio web http://uten<bloqueado>cos.it/vx9. Este archivo corresponde a un troyano detectado por Panda Software como Downloader.DNX.
- Desactiva la propiedad de Windows conocida como Protección de Archivos de Windows (WFP).
Metodo de infección:
Tenga.A realiza el siguiente proceso: - Comprueba la existencia de un mutex llamado gaelicum, para verificar si una instancia previa de sí mismo ya estaba activa en el ordenador. Si es así, entonces redigirá su ejecución al archivo infectado.
- Si no, Tenga.A se coloca residente en la memoria.
Para más información sobre este proceso, pulse aquí. - Debido a la técnica descrita, Tenga.A consigue realizar un elevado número de infecciones en muy poco tiempo sin que los usuarios sean conscientes de ello. Por ejemplo, un virus de acción directa tendría que infectar archivos durante el tiempo comprendido entre la ejecución de la aplicación y el momento en el que el control es redirigido al programa infectado.
- Crea un mutex llamado gaelicum, para asegurarse de que sólo una instancia de sí mismo se coloque residente en la memoria en todo momento.
- Localiza las direcciones de varias funciones API, para realizar sus acciones.
Los nombres de estas funciones API no se muestran en texto plano dentro del código del virus, sino que se encuentran codificadas mediante una función hash. Tenga.A comprueba qué nombres de funciones API coinciden con los valores hash que contiene. - Entonces, Tenga.A intenta descargar y ejecutar el archivo DL.EXE.
- Crea un hilo para propagarse por Internet explotando la vulnerabilidad RPC DCOM.
- Crea otro hilo que busca archivos ejecutables para infectarlos en todas las unidades del sistema excepto en la A:, que normalmente es la disquetera.
- Infecta todos los archivos que haya encontrado. Sin embargo, no infecta aquellos que ya lo estaban, y tampoco el archivo NTOSKRNL.EXE. Para infectar archivos:
- Añade su propio código a la última sección del ejecutable, y redirige el punto de entrada del programa infectado al código del virus. Cuando el archivo se ejecuta, en primer lugar se activa el virus, y después el resto del archivo.
- Esto hace que los archivos aumenten de tamaño, y el virus tendrá que ajustar varios campos en la cabecera del archivo ejecutable infectado. La variación del tamaño no tiene un valor fijo: aunque el código del virus tiene un tamaño constante, el aumento del tamaño depende del alineamiento de la sección después de añadir el código del virus.
- Utiliza el carácter V como marca de infección, en un campo no utilizado de la cabecera que tiene un desplazamiento de 50 bytes respecto a MZ, que es una cabecera para archivos de Windows y MS-DOS. - Desactiva la Protección de Archivos de Windows, para poder infectar los archivos correspondientes al sistema operativo.
Para ello, utiliza una función API no documentada y se inyecta en el proceso winlogon.exe.
Metodo de propagación:
Tenga.A se propaga a través de Internet atacando direcciones IP remotas, en las que trata de aprovechar la vulnerabilidad RPC DCOM. Sin embargo, dado que Tenga.A extiende su infección a otros archivos, también puede llegar a otros ordenadores cuando se distribuyen los archivos previamente infectados, que pueden entrar al ordenador a través de cualquiera de las vías habituales: disquetes, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales de IRC y redes de intercambio de archivos punto a punto (P2P), etc. Otros detalles:
Tenga.A está escrito en lenguaje Ensamblador. Este virus tiene un tamaño de 3666 Bytes. |
