Active Scan. Analiza Gratis tu PC
Download Cloud Antivirus Gratis

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Tixcet.A

PeligrosidadPeligrosidad bajaDañoDañinoPropagaciónPoco extendido

Efectos 

Tixcet.A se trata de un gusano que realiza copias de sí mismo por todo el ordenador. Para ello, realiza el siguiente proceso:

  • Cada vez que se acccede a un directorio, crea una copia de sí mismo con el nombre del directorio al que se ha accedido.
  • Después, elimina todos los archivos que encuentre en ese directorio y crea una copia de sí mismo con el nombre del archivo original y extensión .EXE.
  • Además, la próxima vez que se acceda a ese directorio, si se selecciona uno de los archivos de ese directorio, el gusano volverá a crear una copia de ese archivo.
  • Las extensiones afectadas son las siguientes:
    - archivos de Office: .DOC, .XLS, .PPT, .MDB, .PDF y .XML.
    - archivos multimedia: .MP3, .3GP, .DAT, .MOV y .WAV.
    - archivos de compresión: .ZIP y .RAR.
    - archivos de imagen: .JPG, .BMP y .GIF.
    - archivos ejecutables: .BAT, .COM y .SCR.
    Cualquier archivo con alguna de las extensiones mencionadas previamente será eliminado por el gusano.

Además, realiza las siguientes acciones:

  • Cuando es ejecutado, reinicia el ordenador.
  • Añade la palabra CETIX en el Área de notificación, como se puede observar en la siguiente imagen:

  • No permite que se puedan realizar copias de archivos, ya que deshabilita la opción Pegar a la hora de realizar la copia.
  • Cuando se selecciona un contenido para copiarlo, lo que realmente copia no es el contenido seleccionado, sino el siguiente texto:
    Hello ! My Name is CETiX, nice to meet you...
  • Impide la ejecución de las siguientes aplicaciones, entre otras:
    - Administrador de Tareas.
    - Editor del Registro de Windows.
    - consola de comandos (CMD).
  • Finaliza los procesos cuyo título de ventana tenga alguna de las siguientes cadenas de texto:
    ANVIECLAZZ
    BITDEF
    CabinetWClass
    DETEC
    ExploreWClass
    GRISOFT
    HIJACK
    KASPER
    NORMAN
    NORTON
    PROCEXPL
    SETUP
    SYSINTER
    WINDOWS
    De esta manera consigue dificultar su detección, ya que estos procesos pertenecen a diversas herramientas de seguridad y detección.
  • Cuando detecta ciertas herramientas de visualización, monitorización o detección y está abierto el Explorador de Windows, sustituye el título de ventana por el texto CETiX: Don't Kill Me Please...! My name is CETiX, Nice to meet you... , como se puede ver en la siguiente imagen:

  • Modifica las características de las propiedades de sistema:

 

Para facilitar la comprensión y visualización de algunas de las acciones que realiza Tixcet.A, ponemos a su disposición un video.

Metodo de Infección 

Tixcet.A crea los siguientes archivos, que son copias del gusano:

  • FILES.EXE, UNTITLED.EXE, ADMINISTRADOR.EXE, CETIX.EXE y XZ.EXE, en el directorio raíz de la unidad C:.
  • CETIX.EXE y RACUN.EXE, en el directorio de Windows.
  • POISON.EXE y TOXIC.EXE, en el directorio de sistema de Windows.
  • VSERVE.EXE, en el directorio de Inicio. De esta manera, consigue ejecutarse cada vez que Windows se inicia.

 

Además, crea un archivo AUTORUN.INF en el directorio raíz de la unidad C:. De esta manera, conseguiría ejecutarse cada vez que se acceda a este directorio.

 

Tixcet.A crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Poison = %sysdir%\poison.exe
    donde %sysdir% es el directorio de sistema de Windows.
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    Cetix = %windir%\cetix.exe

    donde %windir% es el directorio de Windows.
    Mediante estas entradas, Tixcet.A consigue ejecutarse cada vez que Windows se inicia.
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot
    AlternateShell = %windir%\cetix.exe
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet002\ Control\ SafeBoot
    AlternateShell = %windir%\cetix.exe
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot
    AlternateShell = %windir%\cetix.exe
    Mediante estas entradas, Tixcet.A consigue ejecutarse automáticamente aunque se reinicie el sistema en modo seguro.

 

Tixcet.A modifica las siguientes entradas del Registro de Windows:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
    Shell = Explorer.exe

    Cambia esta entrada por:
    HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
    Shell = explorer.exe %sysdir%\poison.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
    Userinit = %sysdir%\userinit.exe,
    Cambia esta entrada por:
    HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
    Userinit = %sysdir%\userinit.exe,%sysdir%\poison.exe,
    Mediante estas modificaciones, Tixcet.A consigue ejecutarse cada vez que Windows se inicia.
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion
    RegisteredOrganization
    Cambia esta entrada por:
    HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion
    RegisteredOrganization = CETiX BALi
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion
    RegisteredOwner
    Cambia esta entrada por:
    HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion
    RegisteredOwner = XZ
    Estas dos modificaciones cambian la información de las propiedades de sistema referentes a la organización y al nombre de usuario al que está registrado el sistema operativo.
  • HKEY_CURRENT_USER\ Control Panel\ International
    Cambia esta entrada por:
    HKEY_CURRENT_USER\ Control Panel\ International
    s1159 = AM | CETiX
  • HKEY_CURRENT_USER\ Control Panel\ International
    Cambia esta entrada por:
    HKEY_CURRENT_USER\ Control Panel\ International
    s2359 = PM | CETiX

    Mediante estas dos modificaciones, añade la palabra CETIX en el Área de notificación.

 

Además, Tixcet.A modifica las siguientes entradas del Registro de Windows:

  • HKEY_CLASSES_ROOT\ batfile\ shell\ open\ command
    (Default) = "%1" %*
    Cambia esta entrada por:
    HKEY_CLASSES_ROOT\ batfile\ shell\ open\ command
    (Default) = %sysdir%\toxic.exe "%1"%*
  • HKEY_CLASSES_ROOT\ comfile\ shell\ open\ command
    (Default) = "%1" %*
    Cambia esta entrada por:
    HKEY_CLASSES_ROOT\ comfile\ shell\ open\ command
    (Default) = %sysdir%\toxic.exe "%1"%*
  • HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command
    (Default) = "%1" %*
    Cambia esta entrada por:
    HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command
    (Default) = %sysdir%\toxic.exe "%1"%*
  • HKEY_CLASSES_ROOT\ piffile\ shell\ open\ command
    (Default) = "%1" %*
    Cambia esta entrada por:
    HKEY_CLASSES_ROOT\ piffile\ shell\ open\ command
    (Default) = %sysdir%\toxic.exe "%1"%*
  • HKEY_CLASSES_ROOT\ lnkfile\ shell\ open\ command
    (Default) = "%1" %*
    Cambia esta entrada por:
    HKEY_CLASSES_ROOT\ lnkfile\ shell\ open\ command
    (Default) = %sysdir%\toxic.exe "%1"%*

    Mediante estas modificaciones, cada vez que se ejecuta un archivo con extensiones BAT, COM, EXE, PIF y LNK, además del archivo se ejecutará Tixcet.A.

Por último, modifica estas entradas del Registro de Windows para ocultar su presencia y dificultar su detección:

  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
    SuperHidden = 01, 00, 00, 00

    Cambia esta entrada por:
    HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
    SuperHidden = 00, 00, 00, 00

    Oculta los archivos y carpetas con atributo de oculto.
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
    HideFileExt = 00, 00, 00, 00

    Cambia esta entrada por:
    HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
    HideFileExt = 01, 00, 00, 00

    Oculta las extensiones de los archivos.
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
    ShowSuperHidden = 01, 00, 00, 00

    Cambia esta entrada por:
    HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
    ShowSuperHidden = 00, 00, 00, 00

    Oculta los archivos del sistema operativo.

Método de Propagación 

Tixcet.A llega al ordenador en un archivo que tiene el icono de un documento de Word, para así engañar al usuario y hacerle pensar que se trata de un archivo inofensivo:

Además, se propaga realizando copias de sí mismo por todo el ordenador. Cada vez que se accede a algún directorio, crea una copia de sí mismo con el nombre del directorio, elimina los archivos que haya en ese directorio y crea copias de sí mismo con extensión .EXE y manteniendo el nombre del archivo original.

Otros Detalles  

Tixcet.A está escrito en el lenguaje de programación Visual Basic v5.0. Este gusano tiene un tamaño de 46080 Bytes y está comprimido mediante UPX.

Además, crea los siguientes archivos, que hacen referencia a su creador, como marca de infección:

  • ABOUTCETIX.HTML, en el directorio raíz de la unidad C: y en el Escritorio:

  • INFOBALI.TXT, en el directorio raíz de la unidad C::

>

>

Soporte técnico

Accesos rápidos

Panda Quick Start

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Panda Desinfección Remota

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info

Panda Optimización Remota

Panda Optimización Remota

Nuestros técnicos revisan tu PC y lo dejan funcionando en óptimas condiciones, como el primer día.
[+] info