Categoría: 1 (muy bajo riesgo)
Tipo: Troyano
Sistemas afectados: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Medio de contagio: Archivo infectado.
Fecha de descubrimiento: 20 de enero de 2005
Acciones que toma:- Crea los siguientes archivos:
- %System%\xtempx.xxx
- %System%\xtempx
- Crea la siguiente carpeta:
- Crea una de las siguientes copias de si mismo
- %System%\zztp\svchost.exe
- [Carpeta]\Microsoft\zztp\svchost.exe
Nota:«Carpeta» es el valor que aparezca en esta clave del registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
Explorer\Shell Folders\AppData
- Añade este valor: "zztp" = "svchost.exe" en esta clave del registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run, de esa manera, se ejecuta cada vez que el sistema arranca
- Crea la mutación de clave zztpA19B-1011-91CA-C755B9DBB4A9, de manera que solo una copia del virus se ejecuta a la vez.
- Define como página de inicio del explorer about:blank
- Termina los siguientes procesos relacionados con temas de seguridad, antivirus y firewalls
- ARMOR2NET.EXE
- SAVSCAN.EXE
- NPROTECT.EXE
- NVSVC32.EXE
- _AVP32.EXE
- _AVPCC.EXE
- _AVPM.EXE
- ACKWIN32.EXE
- ANTI-TROJAN.EXE
- APVXDWIN.EXE
- AUTODOWN.EXE
- AVCONSOL.EXE
- AVE32.EXE
- AVGCTRL.EXE
- AVKSERV.EXE
- AVNT.EXE
- AVP.EXE
- AVP32.EXE
- AVPCC.EXE
- AVPDOS32.EXE
- AVPM.EXE
- AVPTC32.EXE
- AVPUPD.EXE
- AVSCHED32.EXE
- AVWIN95.EXE
- AVWUPD32.EXE
- BLACKD.EXE
- BLACKICE.EXE
- CFIADMIN.EXE
- CFIAUDIT.EXE
- CFINET.EXE
- CFINET32.EXE
- CLAW95.EXE
- CLAW95CF.EXE
- CLEANER.EXE
- CLEANER3.EXE
- DVP95.EXE
- DVP95_0.EXE
- ECENGINE.EXE
- ESAFE.EXE
- ESPWATCH.EXE
- F-AGNT95.EXE
- FINDVIRU.EXE
- FPROT.EXE
- F-PROT.EXE
- F-PROT95.EXE
- FP-WIN.EXE
- FRW.EXE
- F-STOPW.EXE
- IAMAPP.EXE
- IAMSERV.EXE
- IBMASN.EXE
- IBMAVSP.EXE
- ICLOAD95.EXE
- ICLOADNT.EXE
- ICMON.EXE
- ICSUPP95.EXE
- ICSUPPNT.EXE
- IFACE.EXE
- IOMON98.EXE
- JEDI.EXE
- LOCKDOWN2000.EXE
- LOOKOUT.EXE
- LUALL.EXE
- ALG.EXE
- MPFTRAY.EXE
- N32SCANW.EXE
- NAVAPW32.EXE
- NAVLU32.EXE
- NAVNT.EXE
- NAVW32.EXE
- NAVWNT.EXE
- NISUM.EXE
- NMAIN.EXE
- NORMIST.EXE
- NUPGRADE.EXE
- NVC95.EXE
- OUTPOST.EXE
- PADMIN.EXE
- PAVCL.EXE
- PAVSCHED.EXE
- PAVW.EXE
- PCCWIN98.EXE
- PCFWALLICON.EXE
- PERSFW.EXE
- RAV7.EXE
- RAV7WIN.EXE
- RESCUE.EXE
- SAFEWEB.EXE
- SCAN32.EXE
- SCAN95.EXE
- SCANPM.EXE
- SCRSCAN.EXE
- SERV95.EXE
- SMC.EXE
- SPHINX.EXE
- SWEEP95.EXE
- TBSCAN.EXE
- TCA.EXE
- TDS2-98.EXE
- TDS2-NT.EXE
- VET95.EXE
- VETTRAY.EXE
- VSCAN40.EXE
- VSECOMR.EXE
- VSHWIN32.EXE
- VSSTAT.EXE
- WEBSCANX.EXE
- WFINDV32.EXE
- ZONEALARM.EXE
- Descarga un archivo desde projectx.net
- Crea y ejecuta los siguientes archivos
- %System%\_kwui.dll
- %System%\_kwuiex.dll
- Guarda información sobre sitios web visitados en este archivo: _pass.log, localizado en una de estas carpetas
- %System%\zztp\
- [Carpeta]\Microsoft\zztp\
Nota:«Carpeta» es el valor que aparezca en esta clave del registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
Explorer\Shell Folders\AppData
- Guarda información de correos en este archivo: _mail.log en las mismas carpetas anteriores.
- Se registra a si mismo como un servicio y envia la información a un atacante remoto mediante FTP
Eliminación: Manualmente:- Deshabilitar la recuperación del sistema (Windows Xp y Millenium)
- Actualizar las definiciones del antivirus
- Ejecutar un análisis completo y borrar todos los archivos infectados con «Trojan.Tannick.B»
- Borrar las entradas mencionadas del el registro.
Comentario:
Sobre este troyano podemos decir que está realmente bien programado, atacando directamente a quienes pueden detener su funcionamiento y asegurándose de que podrá funcionar sin problemas. No es muy fácil infectarse con el y en caso de tenerlo, no es muy difícil librarse de el; el daño que puede causar no es serio dado que no roba información importante, sin embargo, nos garantiza una buena carga de spam en nuestros buzones y de la gente que conozcamos.
Páginas de referencia: Inglés 
24/01/05, 09:16:09
[Virus - Troyano] - Trojan.Tannick.B 
