Worm.Win32_Tilebot-B

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Tilebot-B se propage sur des partages réseau distants protégés par des mots de passe faibles suite à la réception par l'élément cheval de Troie de porte dérobée de la commande appropriée envoyée par l'utilisateur distant.

Tilebot-B se copie dans le dossier Windows sous le nom de fichier tsecure.exe et crée un service nommé "tsecure" afin de s'exécuter au démarrage du système auquel il attribue la fausse appellation de "Terminal Security".

Tilebot-B permet à un utilisateur distant d'accomplir un grand nombre d'actions sur l'ordinateur infecté, y compris le téléchargement de fichiers supplémentaires, le paramétrage d'entrées de registre et le vol d'informations sur l'ordinateur, y compris depuis des zones d'archivage protégées.

Tilebot-B tente de mettre fin aux services portant les noms suivants afin de perturber de nombreux processus de sécurité, y compris le pare-feu Windows et les mises à jour critiques Windows :

Tlntsvr
RemoteRegistry
Messenger
SharedAccess
wscsvc

Pour perturber de nombreux processus de sécurité, Tilebot-B tente de paramétrer les entrées de registre suivantes :

HKLM\SOFTWARE\Microsoft\Security Center
UpdatesDisableNotify
1

HKLM\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify
1

HKLM\SOFTWARE\Microsoft\Security Center
FirewallDisableNotify
1

HKLM\SOFTWARE\Microsoft\Security Center
AntiVirusOverride
1

HKLM\SOFTWARE\Microsoft\Security Center
FirewallOverride
1

HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
EnableFirewall
0

HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
EnableFirewall
0

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
AutoUpdate
AUOptions
1

HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
Start
4

HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr
Start
4

HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
Start
4

HKLM\SYSTEM\CurrentControlSet\Services\Messenger
Start
4

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restictanonymous
1

HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks
0

HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer
0

HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
AutoShareWks
0

HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
AutoShareServer
0

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
DoNotAlloxXPSP2
1

HKLM\SOFTWARE\Microsoft\OLE
EnableDCOM
"N"

Tilebot-B peut aussi paramétrer des entrées de registre aux emplacements suivants :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
MeltMe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
Installed Time

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
Record

HKLM\SYSTEM\CurrentControlSet\Control
WaitToKillServiceTimeout

Tilebot-B tente de supprimer des partages réseau depuis l'ordinateur infecté ainsi que de changer la politique de SeNetworkLogonRight de l'ordinateur.

Tilebot-B tente de contacter des scripts hébérgés sur les domaines suivants :

cgi14.plala.or.jp
hpcgi1.nifty.com
www.age.ne.jp
www.kinchan.net
www2.dokidoki.ne.jp
yia.s22.xrea.com

Tilebot-B tente d'injecter le fichier RDRIV.SYS et de lui installer un service nommé RDRIV. Ce fichier est détecté sous le nom de Rootkit-W.