Efectos
Tang produce los siguientes efectos:
Metodo de Infección
Tang crea los siguientes archivos:
En el directorio de sistema de Windows: E-INST32.SCR, ETWC32.EXE, INCMNDR.EXE, INLNKMGR.EXE, MDINST32.EXE, MSERV32.EXE, NITXT32.EXE, OSTNG32.PIF, SCABDRV.EXE, STNG32.EXE, SWPDMGR.EXE. Estos archivos son copias de sí mismo.
- En el directorio de Windows: HILARIOUS.SCR, KEYMAPP32.EXE, MSDNSSRV.EXE, MSNETWRK32.EXE, MSOSTART32.EXE, MSREGMC32.EXE, MSSCNDSK.EXE, MWINTYPE.EXE, NOTICE.TNG, UNICODE32.SCR, WINDNS32.EXE, WNCNET32.EXE, WNETCON32.EXE. Estos archivos son copias de sí mismo.
Tang elimina todos los archivos que encuentra en unos determinados directorios y que tengan una de las siguientes extensiones:
SCR, PIF, MP3, MP2, GIF, BMP, DIB, PNG, JPG, JPEG, JPE, TIF, TIFF, MPG, MPEG, MPE, AVI, MOV, TMP, TXT, LNK, BAT, MDB, PPT y PPS.
Estos archivos son sustituidos por copias del gusano, que tendrán el mismo nombre, pero con extensión EXE. Por ejemplo: si encuentra el archivo MUSICA.MP3, lo elimina y crea un archivo llamado MUSICA.EXE, que será una copia del gusano.
Si quiere comprobar la lista de directorios en los que Tang busca estos archivos, pulse aquí.
Tang comprueba si el equipo afectado tiene instaladas las siguientes aplicaciones de IRC: mIRC, Pirch y Virc. Si las encuentra, Tang sobrescribe los archivos SCRIPT.INI y EVENTS.INI.
De este modo, consigue enviar a través de los canales de IRC el archivo NOTICE.TNG (usando el comando /dcc). Este archivo es una copia del gusano.
Para saber si las aplicaciones de chat IRC están instaladas, comprueba si existe alguno de los siguientes directorios:
C:\ Mirc, C:\ Mirc32, C:\ Program Files\ Mirc, C:\ Programme\ Mirc, C:\ Programmi\ Mirc, C:\ Program Files\ Mirc32, C:\ Programme\ Mirc32, C:\ Programmi\ Mirc32, C:\ Pirch, C:\ Pirch32, C:\ Program Files\ Pirch, C:\ Programme\ Pirch, C:\ Programmi\ Pirch, C:\ Program Files\ Pirch32, C:\ Programme\ Pirch32, C:\ Programmi\ Pirch32, C:\ Virc, C:\ Program Files\ Virc, C:\ Programme\ Virc, C:\ Programmi\ Virc.
Adicionalmente, Tang tiene código que le permite actuar como un virus de macro. De este modo infectará archivos de Excel, Word y Access. Para hacerlo, sigue el proceso de infección habitual en los virus de macro:
Deshabilita la protección
antivirus que incorpora Office.
Crea un libro infectado de Excel con una macro infectada.
Infecta archivos de Access.
A partir de ese momento, todos los archivos Office que se utilicen en el ordenador resultarán infectados.
Por último, Tang crea la siguiente entrada en el Registro de Windows:
Método de Propagación
Tang se propaga a través del correo electrónico, canales de IRC tales como mIRC, pIRCH and VIRC y a través de aplicaciones de intercambio de ficheros punto a punto (P2P) como KaZaA, Edonkey 2000 o Morpheus.
1. Propagación a través de correo electrónico.
Tang realiza el siguiente proceso:
Llega al ordenador en un mensaje de correo escrito en inglés con características variables:
Mensaje 1:
Asunto:
Important Notice
Contenido:
Hello readers,
A few days ago the Microsoft Network Email System
automatically deleted my email account. This happened
because there is a bug in the Microsoft Network Email
System that may unintentionally remove email accounts
Attachments
without prompting. I have included a patch with this
email that will fix the bug on un-patched computers.
If you need help installing this file, read attached
help file.
Thanks.
Archivo adjunto:
EMAILFIX.EXE
Mensaje 2:
Asunto:
Mp3 sites
Contenido:
Hello,
Try this new software that can download practically any
.mp3 file that is found on the internet. I use this
program all the time and I think it’s great!
Have fun!
Archivo adjunto:
MP3CONNECT.EXE
Mensaje 3:
Asunto:
A ScreenSaver
Contenido:
Hello everyone,
I found a really funny ScreenSaver on the net yesterday
and I think that you would find it funny like I did :)
It’s in the attachments.
Cya!
Archivo adjunto:
HILARIOUS.SCR
Mensaje 4:
Asunto:
Email spoofer
Contenido:
Hello all,
Take a look at this email spoofer that I have included
in the attachments. An email spoofer is a program that
lets you email from anyone@anything.com! it’s really fun
to use for pranks :)
Have fun!
Archivo adjunto:
EMAILGEN.EXE
Message 5:
Asunto:
Password Cracker
Contenido:
Hello Everyone,
I have a cool Password Cracker for you in the attachments :)
this Password Cracker can crack almost any password out there!
Try it for yorself!
Cya!
Archivo adjunto:
PSWDCRACK.EXE
Mensaje 6:
Asunto:
Hotmail passwords
Contenido:
Hello Readers,
Have you tried to crack a Hotmail password ... and failed?
Try the ‘Hotmail Password Cracker’ program that I have
included in the attachments.
Happy hacking!
Archivo adjunto:
EMAILHACKER.EXE
El equipo quedará afectado cuando se ejecute el archivo adjunto.
Una vez realizada la afección, Tang se reenvía a todos los contactos que encuentra en la Libreta de direcciones de Outlook.
2. Propagación a través de los canales de IRC.
Tang lleva a cabo el siguiente proceso para propagrase a través de canales mIRC, Pirch and Virc:
- Comprueba si las aplicaciones mIRC, Pirch y Virc están instaladas en el equipo afectado.
- En caso positivo, envía a través de ellas el archivo NOTICE.TNG, que es una copia del gusano.
3. Propagación a través de aplicaciones de intercambio de ficheros punto a punto.
Tang realiza la siguiente rutina para propagarse por aplicaciones tales como KaZaA, Edonkey 2000 o Morpheus:
Busca los directorios compartidos por defecto de esos programas.
Si los encuentra, elimina los archivos que encuentra en ellos y los sustituye por copias de sí mismo con el mismo nombre, pero con extensión EXE. (Por ejemplo, elimina MUSICA.MP3 y crea una copia del gusano con el nombre MUSICA.EXE ).
Esos archicvos tendran nombres sugerentes. Así, otros usuarios de esos programas de intercambio de ficheros, se descargarán voluntariamente una copia del gusano pensando que, en realidad, se están descargando aplicaciones informáticas, fotos, imágenes...
Otros Detalles
Tang está escrito en lenguaje de programación visual Basic 6. Este gusano tiene un tamaño de 90112 Bytes y está comprimido con UPX, versión 1.24.