Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
TDSS.CZ realiza las siguientes acciones:
- Cuando es ejecutado, el archivo desaparece de la ruta en la que se ha copiado, aunque realmente no es así, sino que se oculta. Esto lo consigue gracias a sus características de rootkit.
- Realiza varias modificaciones en el sistema que le permiten pasar desapercibido. Una de ellas consiste en modificar la configuración de la herramienta de diagnóstico Dr. Watson. Esta herramienta recopila información sobre el equipo cuando ocurre un problema en un programa.
- Para ello, ejecuta en la consola de comandos la siguiente instrucción:
C:\WINDOWS\system32\drwtsn32 -p 1576 -e 136 –g
De esta manera, el gestor de incidencias del sistema no se activa en el caso de que TDSS.CZ de algún error. - Por otra parte, si el usuario está navegando por Internet y accede a alguna página web, antes de mostrar la página, se abre una ventana de Internet Explorer como la siguiente:
- La página web a la que el usuario intenta acceder se abre, pero la imagen de esta página se superpone a la otra, impidiendo al usuario visualizarla a primera vista.
Metodo de Infección
TDSS.CZ crea una copia de sí mismo en la ruta C:\Documents and Settings\%nombreusuario%\Configuración local\Temp. El nombre del archivo es aleatorio, normalmente un número de un dígito, y tiene extensión TMP.
TDSS.CZ crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\DeviceClasses\{ad498944-762f-11d0-8dcb-00c04fc3358c}
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\DeviceClasses\{a7c7a5b1-5af3-11d1-9ced-00a024bf0407}\##?#Root#SYS
Mediante estas entradas, TDSS.CZ se registra como driver y así puede obtener más privilegios que le permiten ocultarse. - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
PendingFileRenameOperations = 5C, 3F, 3F, 5C, 43, 3A, 5C, 44, 4F, 43, 55, 4D, 45, 7E, 31, 5C, 6F, 73, 6F, 5C, 43, 4F, 4E, 46, 49, 47, 7E, 31, 5C, 54, 65, 6D, 70, 5C, 33, 2E, 74, 6D, 70, 00, 00, 00
Mediante esta entrada, TDSS.CZ notifica al sistema que hay una aplicación que ha solicitado el reinicio del sistema para poder funcionar correctamente.
Método de Propagación
TDSS.CZ llega al ordenador en un mensaje de correo electrónico que contiene un archivo adjunto o un enlace a una página web desde la que se descarga.
El archivo se hace pasar por una actualización de flash para engañar a los usuarios y piensen que se trata de un archivo inofensivo. De hecho, el nombre del archivo es FLASH_UPDATE.EXE y presenta el icono tipico de un instalador:
Sin embargo, TDSS.CZ no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Otros Detalles
TDSS.CZ tiene un tamaño de 71680 Bytes.