Tiotua.AY


Gusano para plataforma Windows que se propaga a otros equipos por la red

Difusión: Baja Fecha de Alta:09-06-2009
Última Actualización:09-06-2009
Daño: Medio
Dispersibilidad: Medio

Nombre completo: [email protected]

Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [SMB] - Se difunde por carpetas compartidas de red de Microsoft.
Alias:W32/Tiotua-AY (Sophos)



Método de Infección/Efectos


El gusano crea los siguientes ficheros:

* %Windir%\SSVICHOSST.exe
* %System%\SSVICHOSST.exe

Nota:

%Windir% es una variable que hace referencia al directorio de instalación de Windows. Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).

%System% es una variable que hace referencia al directorio del sistema de Windows. Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

También crea los ficheros:

* %System%\autorun.ini
* %System%\setting.ini

Estos ficheros son detectados como W32/AutoRun-KU.

Para que se cargue en memoria el fichero SSVICHOSST.EXE al iniciar el sistema, se crea la siguiente entrada en el registro:

Código:
Clave: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 

Valor: Shell Explorer.exe SSVICHOSST.exe
El gusano modifica una serie de valores en el Microsoft Internet Explorer mediante las claves:

Código:
Clave: HKCU\Software\Microsoft\Internet Explorer\Main\Start Page

Clave: HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL

Clave: HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL

Clave: HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page

Clave: HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page

También desactiva algunas funcionalidades del sistema mediante las entradas siguientes:

Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System 

Valor:  DisableTaskMgr = 1

Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System 

Valor: DisableRegistryTools = 1

Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 

Valor: NofolderOptions = 1
Este gusano incluye funcionalidades para acceder a Internet y comunicarse con servidores remotos a través del protocolo HTTP.

Fuente: Alerta-Antivirus.es: Detalles del virus Tiotua.AY

Suerte a todos