Tearec.A
PeligrosidadDañoPropagación

Efectos 

Tearec.A realiza las siguientes acciones:

• Los días 3 de cada mes, Tearec.A sobreescribe todos los archivos que contengan cualquiera de las siguientes extensiones:
  .DMP, .DOC, .MDB, .MDE, .PDF, .PPS, .PPT, .PSD, .RAR, .XLS y .ZIP.
  sobreescribiéndolos por la cadena de texto DATA Error [47 0F 94 93 F4 K5].
  
  Dichas extensiones corresponden a los siguientes tipos de archivo:
  - .DMP: Windows memory dump.
  - .DOC: documentos de Word.
  - .MDB: bases de datos de Access.
  - .MDE: bases de datos MDE de Access.
  - .PDF: documentos de Acrobat Reader.
  - .PPS: presentaciones de Power Point.
  - .PPT: presentaciones de Power Point.
  - .PSD: imágenes de Photoshop.
  - .RAR: archivos comprimidos mediante WinRAR.
  - .XLS: documentos de Excel.
  - .ZIP: archivos comprimidos mediante WinZip.
• Deshabilita varios programas, que pertenecen a programas antivirus, programas de intercambio de archivos punto a punto (P2P) y aplicaciones de Internet, ya que borra los siguientes archivos:
  - Todos los archivos de las siguientes subcarpetas:
  Archivos de Programa\Symantec\LiveUpdate
  Archivos de Programa\Symantec\CommonFiles\Symantec Shared
  Archivos de Programa\McAfee.com\Agent
  Archivos de Programa\McAfee.com\shared
  - Todos los archivos con extensión EXE de las siguientes subcarpetas:
  Archivos de Programa\Norton Antivirus
  Archivos de Programa\Alwil Software\Avast4
  Archivos de Programa\McAfee.com\VSO
  Archivos de Programa\Trend Micro\PC-cillin 2002
  Archivos de Programa\Trend Micro\PC-cillin 2003
  Archivos de Programa\Trend Micro\Internet Security
  Archivos de Programa\NavNT
  Archivos de Programa\Kaspersky Lab\Kaspersky Anti-Virus Personal
  Archivos de Programa\Trend Micro\OfficeScan Client
  - Todos los archivos con extensión DLL de las siguientes subcarpetas:
  Archivos de Programa\DAP
  Archivos de Programa\BearShare
  Archivos de Programa\Morpheus
  Archivos de Programa\Grisoft\AVG7
  Archivos de Programa\TREND MICRO\OfficeScan
  - Todos los archivos con extensión PPL de la subcarpeta Archivos de Programa\Kaspersky Lab\Kaspersky Anti-Virus Personal
  - LIMEWIRE.JAR de la subcarpeta Archivos de Programa\LimeWire\LimeWire 4.2.6
• Si el ordenador afectado pertenece a un red de ordenadores, elimina todos los archivos de las siguientes ubicaciones:
  C$\Program Files\Norton AntiVirus
  C$\Archivos de Programa\Common Files\symantec shared
  C$\Archivos de Programa\Symantec\LiveUpdate
  C$\Archivos de Programa\McAfee.com\VSO
  C$\Archivos de Programa\McAfee.com\Agent
  C$\Archivos de Programa\McAfee.com\shared
  C$\Archivos de Programa\Trend Micro\PC-cillin 2002
  C$\Archivos de Programa\Trend Micro\PC-cillin 2003
  C$\Archivos de Programa\Trend Micro\Internet Security
  C$\Archivos de Programa\NavNT
  C$\Archivos de Programa\Panda Software\Panda Antivirus Platinum
  C$\Archivos de Programa\Kaspersky Lab\Kaspersky Anti-Virus Personal
  C$\Archivos de Programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro
  C$\Archivos de Programa\Panda Software\Panda Antivirus 6.0
  C$\Archivos de Programa\CA\eTrust EZ Armor\eTrust EZ Antivirus
  Esto implica que estos archivos serán eliminados de los ordenadores pertenecientes a la misma red que el sistema afectado.
• Finaliza los programas, cuyo nombre contenga una de las siguientes cadenas de texto:
  FIX
  KASPERSKY
  MCAFEE
  NORTON
  REMOVAL
  SCAN
  SYMANTEC
  TREND MICRO
  VIRUS
• Monitoriza el tráfico de red en las siguientes conexiones para obtener contraseñas:
  @HOTMAIL
  @HOTPOP
  @YAHOOGROUPS
  ANTI
  AVG
  BLOCKSENDER
  CA.COM
  CILLIN
  EEYE
  GMAIL.COM
  GROUPS.MSN
  HOTMAIL
  MICROSOFT
  MSN
  MYWAY
  NOMAIL.YAHOO.COM
  PANDA
  SCRIBE
  SECUR
  SPAM
  TREND
  YAHOO! MAIL
  YAHOOGROUPS
• Se conecta a la página web http://webstats.web.rcn.net para saber el número de infecciones que Tearec.A ha realizado.

Metodo de Infección 

Tearec.A crea los siguientes archivos:

• SCANREGW.EXE, UPDATE.EXE, WINZIP.EXE y WINZIP_TMP.EXE en el directorio de sistema de Windows. Estos archivos son copias del gusano.
• RUNDLL16.EXE y WINZIP_TMP.EXE en el directororio de Windows, que también son copias del gusano.
• SAMPLE.ZIP en el directorio de sistema de Windows.

Tearec.A crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  ScanRegistry = scanregw.exe /scan
  Mediante esta entrada, Tearec.A consigue ejecutarse cada vez que Windows se inicia.

Además, Tearec.A crea entradas en las siguientes rutas del Registro de Windows:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 5f54e750-ce26-11cf-8e43-00a0c911005a
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ F4FC596D-DFFE-11CF-9551-00AA00A3DC45
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 190B7910-992A-11cf-8AFA-00AA00C00905
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 72E67120-5959-11cf-91F6-C2863C385E30
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 096EFC40-6ABF-11cf-850C-08002B30345D
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 556C75F1-EFBC-11CF-B9F3-00A0247033C4
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 4D553650-6ABE-11cf-8ADB-00AA00C00905
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 57CBF9E0-6AA7-11cf-8ADB-00AA00C00905
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 9E799BF1-8817-11cf-958F-0020AFC28C3B
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 78E1BDD1-9941-11cf-9756-00AA00C00908
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ DC4D7920-6AC8-11cf-8ADB-00AA00C00905
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 7C35CA30-D112-11cf-8E72-00A0C90F26F8
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 2c49f800-c2dd-11cf-9ad6-0080c7e7b78d
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 899B3E80-6AC6-11cf-8ADB-00AA00C00905
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ B1EFCCF0-6AC1-11cf-8ADB-00AA00C00905
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 6FB38640-6AC7-11cf-8ADB-00AA00C00905
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ E32E2733-1BC5-11d0-B8C3-00A0C90DCA10
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ 4250E830-6AC2-11cf-8ADB-00AA00C00905
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses\ BC96F860-9928-11cf-8AFA-00AA00C00905
  Tearec.A crea estas entradas para registrar y utilizar un control ActiveX que le permite gestionar sockets.

Tearec.A modifica las siguientes entradas del Registro de Windows:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\ Licenses
  Mediante esta modificación, Tearec.A deshabilita las actualizaciones automáticas para los ordenadores con Windows XP Service Pack 2.
• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ InternetExplorer\ Main
  NotifyDownloadComplete = 7562617
  Mediante esta modificación, Tearec.A evita que el usuario pueda visualizar la notificación que se muestra cuando la descarga se ha completado.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
  ShowSuperHidden = 00000000
  Tearec.A activa la opción de no mostrar los archivos ocultos en el Explorador de Windows.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
  WebView = 00000000
  Mediante esta modificación, se deshabilita la opción Vista Web en el Explorador de Windows.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ CabinetState
  FullPath = 00000000
  Este valor deshabilita la opción de visualizar la ruta completa en el Explorador de Windows.

Método de Propagación 

Tearec.A se propaga a través de correo electrónico y de redes de ordenadores.

1.- Propagación por correo electrónico.

• Tearec.A llega al ordenador en un mensaje de correo escrito en inglés con alguna de las siguientes características:
  - Asunto: puede ser uno de los siguientes:
  *Hot Movie*
  A Great Video
  Arab sex DSC-00465.jpg
  eBook.pdf
  Fw: DSC-00465.jpg
  Fw: Funny :)
  Fw: Picturs
  Fw: Real show
  Fw: SeX.mpg
  Fw: Sexy
  Fwd: Crazy illegal Sex!
  Fwd: image.jpg
  Fwd: Photo
  give me a kiss
  Miss Lebanon 2006
  My photos
  Part 1 of 6 Video clipe
  Photos
  School girl fantasies gone bad
  
  - Contenido: uno de los siguientes
  >> forwarded message
  forwarded message attached.
  Fuckin Kama Sutra pics
  hello,
  Helloi attached the details.
  Hot XXX Yahoo Groups
  how are you?
  i just any one see my photos.
  i send the details.
  i send the file.
  It's Free :)
  Note: forwarded message attached. You Must View This Videoclip!
  Please see the file.
  Re: Sex Video
  ready to be FUCKED ;)
  Thank you
  The Best Videoclip Ever
  the file i send the details
  VIDEOS! FREE! (US$ 0,00)
  What?
  
  - Archivos adjuntos: uno de los siguientes
  007.PIF
  392315089702606E-02,.SCR
  677.PIF
  ADULTS_9,ZIP.SCR
  ATT01.ZIP.SCR
  ATTACHMENTS[001],B64.SCR
  CLIPE,ZIP.SCR
  DOCUMENT.PIF
  DSC-00465.PIF
  DSC-00465.PIF
  EBOOK.PIF
  IMAGE04.PIF
  NEW VIDEO,ZIP
  NEW_DOCUMENT_FILE.PIF
  PHOTO.PIF
  PHOTOS,ZIP.SCR
  SCHOOL.PIF
  SEX,ZIP.SCR
  SEX.MIM
  VIDEO_PART.MIM
  WINZIP,ZIP.SCR
  WINZIP.BHX
  WINZIP.ZIP.SCR
  WORD XP.ZIP.SCR
  WORD.ZIP.SCR
• El ordenador queda afectado cuando el usuario ejecuta el archivo adjunto.
• Tearec.A busca direcciones de correo electrónico en varios archivos del ordenador.
• Después, envía una copia de sí mismo a las direcciones que ha recogido utilizando su propio motor SMTP.

2.- Propagación mediante redes de ordenadores.

• Si el ordenador afectado forma parte de una red, Tearec.A intenta acceder a los recursos compartidos de red como:
  - C$\documents and settings\all users\start menu\programs\startup, que es el directorio de Inicio.
  - Admin$
  - C$
• Para ello, emplea nombres de usuario y contraseñas que son típicas o fáciles de adivinar.
• Si consigue acceder, Tearec.A realiza copias de sí mismo en recursos compartidos como:
  - C$\documents and settings\all users\start menu\programs\startup\winzip quick pick.exe
  - Admin$\winzip_tmp.exe
  - C$\winzip_tmp.exe

Otros Detalles  

Tearec.A está escrito en el lenguaje de programación Visual Basic v5. Este gusano tiene un tamaño de 95690 Bytes y está comprimido mediante UPX.