Trile
PeligrosidadDañoPropagación

Efectos 

Trile produce los siguientes efectos en el ordenador:

• Infecta ficheros, copiando en las primeras líneas el código vírico.
• Busca procesos correspondientes a programas antivirus y de seguridad. Si encuentra que estos procesos se encuentran activos en el ordenador, los finaliza. Si quiere ver la lista de procesos que Trile finaliza, pulse aquí.
• Envía una copia de sí mismo a todos los contactos que encuentre en la Libreta de direcciones de Outlook.

Metodo de Infección 

Trile crea los siguientes ficheros en el directorio de Windows:

• ????????.EXE. Es una copia del gusano de nombre aleatorio.
• KERNEL.DLL. Es parte del gusano, con un tamaño de 70656 Bytes.
• SVCHOST.EXE.  Es una copia del gusano.

Trile también crea múltiples ficheros, que son copias de sí mismo, en el directorio C:\My Downloads (si no existe la carpeta C:\My Downloads , la crea y posteriormente crea en ella los ficheros). El nombre de este fichero lo crea seleccionando aleatoriamente una opción de cada una de las siguientes partes:

• Parte 1:
  AGE OF SAIL 2
  AGE OF WONDERS
  AIKAQUEST3HENTAI
  AIM ACCOUNT STEALER
  ALIENS VERSUS PREDATOR 2 PRIMAL HUNT
  AUSTERLITZ NAPOLEONS GREATEST VICTORY
  BLACK AND WHITE
  BORLAND DELPHI 6
  BORLAND DELPHI 7
  CABELAS ULTIMATE DEER HUNT 2
  CAT ATTACKS CHILD
  CIVILIZATION 3
  CKY3 – BAM MARGERA WORLD INDUSTRIES ALIEN WORKSHOP
  CLIVE BARKER’S UNDYING
  CLONE CD
  COMANCHE 4
  COMBAT FLIGHT SIMULATOR 3
  CRAZY TAXI
  CRITICAL POINT MANGA GAME TUNE
  DARK AGE OF CAMELOT  SHROUDED ISLES
  DEADLY DOZEN
  DSL MODEM UNCAPPER
  DUKE NUKEM MANHATTAN PROJECT
  DWEEBS 2
  ELDER SCROLLS III MORROWIND THX BRRBRR
  EMPEROR RISE OF THE MIDDLE KINGDOM
  EMPIRE EARTH
  FIFA 2003
  FREEDOM FORCE
  GEARHEAD GARAGE
  GLADIATOR
  GLADIATOR
  GRAND PRIX 4
  HALF LIFE BLUE SHIFT
  HALF-LIFE ONLINE
  HALF-LIFE WON
  HARD TRUCK 18 WHEELS OF STEEL
  HITMAN 2 SILENT ASSASSIN
  HOYLE CARD GAMES 2003
  INDUSTRY GIANT 2
  INTERNATIONAL CRICKET CAPTAIN 2003
  INTERNET AND COMPUTER SPEED BOOSTER
  KAZAA SPYWARE REMOVER
  MACROMEDIA DREAMWEAVER MX
  MACROMEDIA FLASH 5.0
  MAFIA
  MICROSOFT OFFICE XP (ENGLISH)
  MORROWIND THX BRRBRR
  MOVIEZCHANNELSINSTALER
  MS TRAIN SIMULATOR
  MS TRAIN SIMULATOR
  MSN PASSWORD HACKER AND STEALER
  NECROMANIA TRAP OF DARKNESS
  NECROMANIA TRAP OF DARKNESS
  NERO BURNING ROM 5.8.0.1
  NEVERWINTER NIGHTS
  NORTON ANTIVIRUS 2002
  NORTON UTILITIES 2002 XP
  PRISONER OF WAR
  QUAKE 3 ARENA
  QUAKE 4 BETA
  RED ACE SQUADRON
  SIMS
  SOLDIERS OF ANARCHY
  SQUAD BATTLES EAGLES STRIKE
  STAR WARS II MOVIE
  STAR WARS STARFIGHTER
  STRIKE FIGHTER PROJECT 1
  STRONGHOLD CRUSADER
  SUDDEN STRIKE 2
  THE EYE OF KRAKEN
  THE NEVERENDING STORY PART I
  THE THING
  TOMB RAIDER 3
  TOMB RAIDER 3
  VALHALLA CHRONICLES
  WARCRAFT 3
  WINDOWS XP
  WINDOWS XP SP1
  WINRAR 3.2
  WINZIP 8.0
  XBOX.INFO
  ZIDANE-SCREENINSTALER
  ZONEALARM FIREWALL
• Parte 2: Trile elige entre no poner nada o añadir al nombre del fichero el texto: ISO – .
• Parte 3:

  CRACK.EXE
  FULL DOWNLOADER.EXE
  KEY GENERATOR.EXE
  MANIA

Trile crea las siguientes claves en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ <programa_de_seguridad> <número> = <e-mail>
  Donde programa_de_seguridad es una de las cadenas pertenecientes a programas de seguridad que el gusano utiliza para terminar procesos, número es un valor numérico autoincrementado, y e-mail son direcciones de correo obtenidas del equipo en el que se ejecuta.

• HKEY_LOCAL_MACHINE\ SOFTWARE\ <nombre_aleatorio> email_num 
  Con un valor que indica la cantidad de direcciones de correo que ha conseguido robar (las direcciones de correo pueden estar repetidas).

• HKEY_LOCAL_MACHINE\ SOFTWARE\ <nombre_aleatorio> Sent
  Con un valor que indica la cantidad de mensajes que el gusano ha enviado.

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\Run "AUTOTRACE"

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run nombre1 %windir%\ nombre2.exe
  Donde nombre1 y nombre2 son dos cadenas de texto diferentes y aleatorias creadas por el gusano.
  Lo hace para ejecutarse en cada reinicio de la máquina

Método de Propagación 

Trile es un gusano que se propaga a través del correo electrónico y de los programas de intercambio de ficheros punto a punto (P2P) KaZaa y Shareaza.

Propagación a través del correo electrónico.
Sigue el siguiente proceso:

• Llega al ordenador en un mensaje con las siguientes características:
  Asunto: es variable, y será uno de los presentados en la siguiente listado, en orden alfabético:
  $150 FREE Bonus!!
  25 mechants and rising!
  Announcement!
  Bad news!!
  CALL FOR INFORMATION
  Click on this!
  Correction of errors!
  Cows
  Daily Email Reminder!
  Empty account!
  Fantastic!
  Free Shipping!
  FSM32
  Get 8 FREE issues – no riks!!
  Get a FREE gift!
  Greets!!
  Hi!
  History screen!
  I need help about script!!!
  Interesting...
  Introduction
  Its Easy!
  Its Easy! ing!
  Just a reminder!
  Lost & Found!
  Market Update Report!
  Membership Confirmation
  My eBay ads!
  New bonus in your cash account!
  New Contests!
  New Reading
  News
  Payment Notices!
  Please Help...
  Report
  SCAM alert!!!
  Sponsors needed!
  Star Wars II Movie
  Stats
  Today Only!!
  Tools For Your Online Business!
  Various!
  Warning!
  Wow!
  Your News Alert!!
  
  Contenido del mensaje, que será uno de los siguientes:
  Attached one Gift for u..
  More details attached!
  Check the attachment..
  Check the attachment!
  See the attachment!
  Enjoy the attachment!
  Hi Check the attachment..
  Hi  Check the attachment..  See u
  
  Fichero adjunto, con uno de los siguientes nombres:
  CHECKFRIENDS
  ENJOYLOVE
  FREESCREENSAVER
  FRIENDS
  FRIENDS4U
  FRIENDSCR
  FRIENDSEARCH
  FRIENDSHIPFORU
  FRIENDSWORLD
  GREETINGS
  LOVE
  LOVE4U
  LOVERS
  LOVERSCREENSAVER
  LOVERSGANG
  LOVESCR
  LOVESHORE
  PASSION
  RISHTHA
  SCREENSAVER
  SCREENSAVER4U
  SCREENSAVERFORU
  SHAKESCR
  SHAREIT
  SHARELOVE
  TRUEFRIENDS
  TRUELOVERS
  URFRIEND
  WERFRIENDS
  Junto a el nombre, estos ficheros tendrán doble extensión. La primera será una de las siguientes: GIF, MPG, MP3, XLS, WAV, DAT, JPG, HTM, XLS, TXT, MDB, BMP, DOC o ZIP. Y l a segunda será PIF, BAT o SCR.
  Como ejemplos, se pueden presentar ficheros como estos: WERFRIENDS.GIF.BAT , WERFRIENDS.GIF.PIF, WERFRIENDS.MPG.SCR, etc.
• Una vez afectado el equipo, Trile envía una copia de sí mismo a todos los contactos que encuentra en la Libreta de direcciones  de Outlook.

Propagación a través de KaZaA y Shareaza.
Para propagarse sigue el siguiente proceso:

• Comprueba cual es el directorio compartido de estos programas
• En ese directorio, crea múltiples copias de sí mismo.
• Otros usuarios de estos programas podrán acceder, de manera remota, a esos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los ficheros nombrados anteriormente, pensando que se trata de películas, aplicaciones informáticas, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
• Al ejecutar el fichero infectado, esos otros ordenadores quedarán infectados por Trile.

Otros Detalles  

El fichero que provoca la infección tiene un tamaño de 90112 Bytes.