Nombre:Worm/Tutiam.A
Descubierto:24/07/2006
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:143.360 Bytes
Suma de control MD5:9f2b1ee9a59f56a91a0Ca7b25458e589
Versión del VDF:6.35.00.180
Versión del IVDF:6.35.00.220

 General Métodos de propagación:
   • Correo electrónico
   • Red local


Alias:
   •  Symantec: W32.Miti@mm
   •  Kaspersky: IRC-Worm.Win32.Tutiam.a
   •  TrendMicro: WORM_TUTIAM.A
   •  VirusBuster: Worm.Tutiam.A
   •  Bitdefender: Dropped:Win32.Worm.Tamiami.A


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Suelta un fichero dañino
   • Modificaciones en el registro


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\strangler.exe
   • %WINDIR%\Tamiami.wrd
   • %WINDIR%\tamweb\Pictures.exe



Crea las siguientes carpetas:
   • %WINDIR%\tammail
   • %WINDIR%\tamweb



Añade una sección al fichero.
– Para: %disquetera%:\*.zip Con el siguiente contenido:
   • SourceCode.exe
     Addons_ENG.exe
     Pictures.exe
     Licence.exe
     ReadMe.exe
     Install.exe
     Quellcode.exe
     Addons.exe
     Bilder.exe
     Lizenz.exe
     LiesMich.exe
     Installation.exe
     (%ficheros ejecutados%)




Crea los siguientes ficheros:

%WINDIR%\tamver.sys
%WINDIR%\Tamiami.vbs
%WINDIR%\tamweb\index.htm Detectado como: Worm/Tamiami.A

%WINDIR%\Tamiami.mrc

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Tamiami"="%WINDIR%\strangler.exe"



Añade la siguiente clave al registro:

– [HKCU\Identities\%dependiente del sistema%\Software\
   Microsoft\Outlook Express\5.0\Mail]
   • "Warn on Mapi Send"=dword:00000000



Modifica las siguientes claves del registro:

Desactiva el cortafuego de Windows:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Nuevo valor:
   • "Start"=dword:00000004

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: irc.quake**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios de ocho dígitos%
Canal: #tamiami
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: strangler

Servidor: quakenet.under**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios de ocho dígitos%
Canal: #tamiami
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: strangler

Servidor: irc.efn**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios de ocho dígitos%
Canal: #tamiami
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: strangler

Servidor: icr.under**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios de ocho dígitos%
Canal: #tamiami
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: strangler

Servidor: eu.under**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios de ocho dígitos%
Canal: #tamiami
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: strangler

Servidor: us.under**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios de ocho dígitos%
Canal: #tamiami
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: strangler

Servidor: port80c.se.quake**********
Puerto: 6667
Contraseña del servidor: %serie de caracteres aleatorios de ocho dígitos%
Canal: #tamiami
Apodo: %serie de caracteres aleatorios de ocho dígitos%
Contraseña: strangler


– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • desconectarse del servidor IRC
    • Ingresar a un canal IRC
    • Iniciar la rutina de propagación

 Informaciones diversas  Para buscar una conexión a Internet, contacta el siguiente sitio web:
   • http://update.microsoft.com


Objeto mutex:
Crea el siguiente objeto mutex:
   • Worm.Tamiami v1.3.2 by DiA/RRLF

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Monica Ghitun el lunes 24 de julio de 2006
Descripción actualizada por Andrei Ivanes el lunes 27 de noviembre de 2006

Volver . . . .