SlideShare a Scribd company logo

Investigcion

Download as DOC, PDF
Claudio Jair Mejia Perez
Claudio Jair Mejia Perez

Tixcet.A es un gusano que se propaga creando copias de sí mismo en los directorios del ordenador y eliminando archivos. Modifica entradas del registro para ejecutarse automáticamente y dificultar su detección. Añade la palabra "CETIX" en la barra de notificación e impide el uso de herramientas de seguridad.

1 of 8
Efectos Tixcet.A se trata de un gusano que realiza copias de sí mismo por todo el ordenador. Para ello, realiza el siguiente proceso: # Cada vez que se accede a un directorio, crea una copia de sí mismo con el nombre del directorio al que se ha accedido. # Después, elimina todos los archivos que encuentre en ese directorio y crea una copia de sí mismo con el nombre del archivo original y extensión .EXE. # Además, la próxima vez que se acceda a ese directorio, si se selecciona uno de los archivos de ese directorio, el gusano volverá a crear una copia de ese archivo. # Las extensiones afectadas son las siguientes: - archivos de Office: .DOC, .XLS, .PPT, .MDB, .PDF y .XML. - archivos multimedia: .MP3, .3GP, .DAT, .MOV y .WAV. - archivos de compresión: .ZIP y .RAR. - archivos de imagen: .JPG, .BMP y .GIF. - archivos ejecutables: .BAT, .COM y .SCR. Cualquier archivo con alguna de las extensiones mencionadas previamente será eliminado por el gusano. Además, realiza las siguientes acciones: # Cuando es ejecutado, reinicia el ordenador. # Añade la palabra CETIX en el Área de notificación, como se puede observar en la siguiente imagen: # No permite que se puedan realizar copias de archivos, ya que deshabilita la opción Pegar a la hora de realizar la copia. # Cuando se selecciona un contenido para copiarlo, lo que realmente copia no es el contenido seleccionado, sino el siguiente texto: Hello ! My Name is CETiX, nice to meet you... # Impide la ejecución de las siguientes aplicaciones, entre otras: - Administrador de Tareas. - Editor del Registro de Windows. - consola de comandos (CMD). # Finaliza los procesos cuyo título de ventana tenga alguna de las siguientes cadenas de texto: ANVIECLAZZ BITDEF 6
CabinetWClass DETEC ExploreWClass GRISOFT HIJACK KASPER NORMAN NORTON PROCEXPL SETUP SYSINTER WINDOWS De esta manera consigue dificultar su detección, ya que estos procesos pertenecen a diversas herramientas de seguridad y detección. # Cuando detecta ciertas herramientas de visualización, monitorización o detección y está abierto el Explorador de Windows, sustituye el título de ventana por el texto CETiX : Don't Kill Me Please...! My name is CETiX, Nice to meet you... , como se puede ver en la siguiente imagen: # Modifica las características de las propiedades de sistema: 6
Metodo de Infección Tixcet.A crea los siguientes archivos, que son copias del gusano: * FILES.EXE, UNTITLED.EXE, ADMINISTRADOR.EXE, CETIX.EXE y XZ.EXE, en el directorio raíz de la unidad C:. * CETIX.EXE y RACUN.EXE, en el directorio de Windows. * POISON.EXE y TOXIC.EXE, en el directorio de sistema de Windows. * VSERVE.EXE, en el directorio de Inicio. De esta manera, consigue ejecutarse cada vez que Windows se inicia. Además, crea un archivo AUTORUN.INF en el directorio raíz de la unidad C:. De esta manera, conseguiría ejecutarse cada vez que se acceda a este directorio. Tixcet.A crea las siguientes entradas en el Registro de Windows: * HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run Poison = %sysdir%poison.exe donde %sysdir% es el directorio de sistema de Windows. * HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run Cetix = %windir%cetix.exe donde %windir% es el directorio de Windows. Mediante estas entradas, Tixcet.A consigue ejecutarse cada vez que Windows se inicia. * HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Control SafeBoot AlternateShell = %windir%cetix.exe * HKEY_LOCAL_MACHINE SYSTEM ControlSet002 Control SafeBoot AlternateShell = %windir%cetix.exe * HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SafeBoot AlternateShell = %windir%cetix.exe Mediante estas entradas, Tixcet.A consigue ejecutarse automáticamente aunque se reinicie el sistema en modo seguro. 6
Tixcet.A modifica las siguientes entradas del Registro de Windows: * HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon Shell = Explorer.exe Cambia esta entrada por: HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon Shell = explorer.exe %sysdir%poison.exe * HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon Userinit = %sysdir%userinit.exe, Cambia esta entrada por: HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon Userinit = %sysdir%userinit.exe,%sysdir%poison.exe, Mediante estas modificaciones, Tixcet.A consigue ejecutarse cada vez que Windows se inicia. * HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion RegisteredOrganization Cambia esta entrada por: HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion RegisteredOrganization = CETiX BALi * HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion RegisteredOwner Cambia esta entrada por: HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion RegisteredOwner = XZ Estas dos modificaciones cambian la información de las propiedades de sistema referentes a la organización y al nombre de usuario al que está registrado el sistema operativo. * HKEY_CURRENT_USER Control Panel International Cambia esta entrada por: HKEY_CURRENT_USER Control Panel International 6
s1159 = AM | CETiX * HKEY_CURRENT_USER Control Panel International Cambia esta entrada por: HKEY_CURRENT_USER Control Panel International s2359 = PM | CETiX Mediante estas dos modificaciones, añade la palabra CETIX en el Área de notificación. Además, Tixcet.A modifica las siguientes entradas del Registro de Windows: * HKEY_CLASSES_ROOT batfile shell open command (Default) = "%1" %* Cambia esta entrada por: HKEY_CLASSES_ROOT batfile shell open command (Default) = %sysdir%toxic.exe "%1"%* * HKEY_CLASSES_ROOT comfile shell open command (Default) = "%1" %* Cambia esta entrada por: HKEY_CLASSES_ROOT comfile shell open command (Default) = %sysdir%toxic.exe "%1"%* * HKEY_CLASSES_ROOT exefile shell open command (Default) = "%1" %* Cambia esta entrada por: HKEY_CLASSES_ROOT exefile shell open command (Default) = %sysdir%toxic.exe "%1"%* * HKEY_CLASSES_ROOT piffile shell open command (Default) = "%1" %* Cambia esta entrada por: HKEY_CLASSES_ROOT piffile shell open command (Default) = %sysdir%toxic.exe "%1"%* * HKEY_CLASSES_ROOT lnkfile shell open command (Default) = "%1" %* Cambia esta entrada por: HKEY_CLASSES_ROOT lnkfile shell open command (Default) = %sysdir%toxic.exe "%1"%* Mediante estas modificaciones, cada vez que se ejecuta un archivo con extensiones BAT, COM, EXE, PIF y LNK, además del archivo se ejecutará Tixcet.A. 6
Por último, modifica estas entradas del Registro de Windows para ocultar su presencia y dificultar su detección: * HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer Advanced SuperHidden = 01, 00, 00, 00 Cambia esta entrada por: HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer Advanced SuperHidden = 00, 00, 00, 00 Oculta los archivos y carpetas con atributo de oculto. * HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer Advanced HideFileExt = 00, 00, 00, 00 Cambia esta entrada por: HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer Advanced HideFileExt = 01, 00, 00, 00 Oculta las extensiones de los archivos. * HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer Advanced ShowSuperHidden = 01, 00, 00, 00 Cambia esta entrada por: HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer Advanced ShowSuperHidden = 00, 00, 00, 00 Oculta los archivos del sistema operativo. Método de Propagación Tixcet.A llega al ordenador en un archivo que tiene el icono de un documento de Word, para así engañar al usuario y hacerle pensar que se trata de un archivo inofensivo: Además, se propaga realizando copias de sí mismo por todo el ordenador. Cada vez que se accede a algún directorio, crea una copia de sí mismo con el nombre del directorio, elimina los archivos que haya en ese directorio y crea copias de sí mismo con extensión .EXE y manteniendo el nombre del archivo original. 6
Otros Detalles Tixcet.A está escrito en el lenguaje de programación Visual Basic v5.0. Este gusano tiene un tamaño de 46080 Bytes y está comprimido mediante UPX. Además, crea los siguientes archivos, que hacen referencia a su creador, como marca de infección: * ABOUTCETIX.HTML , en el directorio raíz de la unidad C: y en el Escritorio: 6
*INFOBALI.TXT , en el directorio raíz de la unidad C: . 6

Recommended

Registro de windows
Registro de windowsRegistro de windows
Registro de windows
SPDUQUE
 
Ps tools
Ps toolsPs tools
Ps tools
websyo
 
9 managing processes
9 managing processes9 managing processes
9 managing processes
cyberleon95
 
Manual de hacker 131 trucos elhacker hacking webs, hack msn messenger 7, se...
Manual de hacker 131 trucos elhacker hacking webs, hack msn messenger 7, se...Manual de hacker 131 trucos elhacker hacking webs, hack msn messenger 7, se...
Manual de hacker 131 trucos elhacker hacking webs, hack msn messenger 7, se...
kelvinst
 
Manual Bàsic PS Tools
Manual Bàsic PS ToolsManual Bàsic PS Tools
Manual Bàsic PS Tools
preverisk Group
 
Explorador de windows
Explorador de windows Explorador de windows
Explorador de windows
samanthachipuli
 
Lo que será windows 8
Lo que será windows 8Lo que será windows 8
Lo que será windows 8
Eventos Creativos
 
Actividad v administración y comandos básicos if04 emerson
Actividad v administración y comandos básicos if04 emersonActividad v administración y comandos básicos if04 emerson
Actividad v administración y comandos básicos if04 emerson
Emerson Gonzalez IF04 T I
 

Recommended

Registro de windows
Registro de windowsRegistro de windows
Registro de windows
SPDUQUE
 
Ps tools
Ps toolsPs tools
Ps tools
websyo
 
9 managing processes
9 managing processes9 managing processes
9 managing processes
cyberleon95
 
Manual de hacker 131 trucos elhacker hacking webs, hack msn messenger 7, se...
Manual de hacker 131 trucos elhacker hacking webs, hack msn messenger 7, se...Manual de hacker 131 trucos elhacker hacking webs, hack msn messenger 7, se...
Manual de hacker 131 trucos elhacker hacking webs, hack msn messenger 7, se...
kelvinst
 
Manual Bàsic PS Tools
Manual Bàsic PS ToolsManual Bàsic PS Tools
Manual Bàsic PS Tools
preverisk Group
 
Explorador de windows
Explorador de windows Explorador de windows
Explorador de windows
samanthachipuli
 
Lo que será windows 8
Lo que será windows 8Lo que será windows 8
Lo que será windows 8
Eventos Creativos
 
Actividad v administración y comandos básicos if04 emerson
Actividad v administración y comandos básicos if04 emersonActividad v administración y comandos básicos if04 emerson
Actividad v administración y comandos básicos if04 emerson
Emerson Gonzalez IF04 T I
 
Explorador de windows.docx armando
Explorador de windows.docx armandoExplorador de windows.docx armando
Explorador de windows.docx armando
armando morocco
 
Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...
Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...
Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...
Telefónica
 
Servicio VPN con OpenVPN y Latch sobre Raspberry Pi
Servicio VPN con OpenVPN y Latch sobre Raspberry PiServicio VPN con OpenVPN y Latch sobre Raspberry Pi
Servicio VPN con OpenVPN y Latch sobre Raspberry Pi
Telefónica
 
Registro de windows
Registro de windowsRegistro de windows
Registro de windows
andescobaros
 
reto-by-q3rv0
reto-by-q3rv0reto-by-q3rv0
reto-by-q3rv0
q3rv0
 
Linux basico-6.PDF
Linux basico-6.PDFLinux basico-6.PDF
Linux basico-6.PDF
ULEAM
 
nueva
nuevanueva
nueva
xagentex007
 
Linux ud9 - gestion de particiones en linux
Linux ud9 - gestion de particiones en linuxLinux ud9 - gestion de particiones en linux
Linux ud9 - gestion de particiones en linux
Javier Muñoz
 
Manual para-instalar-oracle-database-11 g-r2-en-centos-6
Manual para-instalar-oracle-database-11 g-r2-en-centos-6Manual para-instalar-oracle-database-11 g-r2-en-centos-6
Manual para-instalar-oracle-database-11 g-r2-en-centos-6
shac Rob
 
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
RootedCON
 
Permisos de archivo
Permisos de archivoPermisos de archivo
Permisos de archivo
jarx75
 
Linux basico-2.PDF
Linux basico-2.PDFLinux basico-2.PDF
Linux basico-2.PDF
ULEAM
 
Unix 1314 test
Unix 1314 testUnix 1314 test
Unix 1314 test
Carlos Sotomayor
 
Sistemas Operativos
Sistemas OperativosSistemas Operativos
Sistemas Operativos
UCC
 
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)
Pablo Alvarez Doval
 
Laboratorio 2 ms dos so (1)
Laboratorio 2 ms dos so (1)Laboratorio 2 ms dos so (1)
Laboratorio 2 ms dos so (1)
Manuela Hincapie Perez
 
Taller
TallerTaller
Taller
Carlos Perez
 
Servidor WEB
Servidor WEBServidor WEB
Servidor WEB
Lenidav
 
Instalación de libreoffice 4.0
Instalación de libreoffice 4.0Instalación de libreoffice 4.0
Instalación de libreoffice 4.0
Nestux Alfonso Rincón Garcia
 
Planes de llamada
Planes de llamadaPlanes de llamada
Planes de llamada
esmeraldaq2011
 
Hipercom basket price report Hungary 2016.september
Hipercom basket price report Hungary 2016.septemberHipercom basket price report Hungary 2016.september
Hipercom basket price report Hungary 2016.september
HIPERCOM
 
masterproef_machteldsymoens_91414
masterproef_machteldsymoens_91414masterproef_machteldsymoens_91414
masterproef_machteldsymoens_91414
Machteld Symoens
 

More Related Content

What's hot

Registro de windows
Registro de windowsRegistro de windows
Registro de windows
andescobaros
 
reto-by-q3rv0
reto-by-q3rv0reto-by-q3rv0
reto-by-q3rv0
q3rv0
 
Linux basico-6.PDF
Linux basico-6.PDFLinux basico-6.PDF
Linux basico-6.PDF
ULEAM
 
Linux ud9 - gestion de particiones en linux
Linux ud9 - gestion de particiones en linuxLinux ud9 - gestion de particiones en linux
Linux ud9 - gestion de particiones en linux
Javier Muñoz
 
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
RootedCON
 
Permisos de archivo
Permisos de archivoPermisos de archivo
Permisos de archivo
jarx75
 
Linux basico-2.PDF
Linux basico-2.PDFLinux basico-2.PDF
Linux basico-2.PDF
ULEAM
 
Servidor WEB
Servidor WEBServidor WEB
Servidor WEB
Lenidav
 

What's hot (20)

Explorador de windows.docx armando
Explorador de windows.docx armandoExplorador de windows.docx armando
Explorador de windows.docx armando
 
Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...
Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...
Explotar Eternalblue & Doublepulsar para obener una shell de Empire/Meterpret...
 
Servicio VPN con OpenVPN y Latch sobre Raspberry Pi
Servicio VPN con OpenVPN y Latch sobre Raspberry PiServicio VPN con OpenVPN y Latch sobre Raspberry Pi
Servicio VPN con OpenVPN y Latch sobre Raspberry Pi
 
Registro de windows
Registro de windowsRegistro de windows
Registro de windows
 
reto-by-q3rv0
reto-by-q3rv0reto-by-q3rv0
reto-by-q3rv0
 
Linux basico-6.PDF
Linux basico-6.PDFLinux basico-6.PDF
Linux basico-6.PDF
 
nueva
nuevanueva
nueva
 
Linux ud9 - gestion de particiones en linux
Linux ud9 - gestion de particiones en linuxLinux ud9 - gestion de particiones en linux
Linux ud9 - gestion de particiones en linux
 
Manual para-instalar-oracle-database-11 g-r2-en-centos-6
Manual para-instalar-oracle-database-11 g-r2-en-centos-6Manual para-instalar-oracle-database-11 g-r2-en-centos-6
Manual para-instalar-oracle-database-11 g-r2-en-centos-6
 
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
 
Permisos de archivo
Permisos de archivoPermisos de archivo
Permisos de archivo
 
Linux basico-2.PDF
Linux basico-2.PDFLinux basico-2.PDF
Linux basico-2.PDF
 
Unix 1314 test
Unix 1314 testUnix 1314 test
Unix 1314 test
 
Sistemas Operativos
Sistemas OperativosSistemas Operativos
Sistemas Operativos
 
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)
Depuración Avanzada Con Win Dbg Y Vs 2010 (Extendida)
 
Laboratorio 2 ms dos so (1)
Laboratorio 2 ms dos so (1)Laboratorio 2 ms dos so (1)
Laboratorio 2 ms dos so (1)
 
Taller
TallerTaller
Taller
 
Servidor WEB
Servidor WEBServidor WEB
Servidor WEB
 
Instalación de libreoffice 4.0
Instalación de libreoffice 4.0Instalación de libreoffice 4.0
Instalación de libreoffice 4.0
 
Planes de llamada
Planes de llamadaPlanes de llamada
Planes de llamada
 

Viewers also liked

masterproef_machteldsymoens_91414
masterproef_machteldsymoens_91414masterproef_machteldsymoens_91414
masterproef_machteldsymoens_91414
Machteld Symoens
 
Maintenance Room Design.PDF
Maintenance Room Design.PDFMaintenance Room Design.PDF
Maintenance Room Design.PDF
Brett Epstein
 
10 claves para la innovacion social (octubre 2012 ciem).pdf
10 claves para la innovacion social (octubre 2012 ciem).pdf10 claves para la innovacion social (octubre 2012 ciem).pdf
10 claves para la innovacion social (octubre 2012 ciem).pdf
Nomadalab
 
мастер класс для педагогов
мастер класс для педагоговмастер класс для педагогов
мастер класс для педагогов
virtualtaganrog
 
Sentencia Vania Queipul
Sentencia Vania QueipulSentencia Vania Queipul
Sentencia Vania Queipul
cidsur
 

Viewers also liked (19)

Hipercom basket price report Hungary 2016.september
Hipercom basket price report Hungary 2016.septemberHipercom basket price report Hungary 2016.september
Hipercom basket price report Hungary 2016.september
 
masterproef_machteldsymoens_91414
masterproef_machteldsymoens_91414masterproef_machteldsymoens_91414
masterproef_machteldsymoens_91414
 
sprimben doraemon
sprimben doraemonsprimben doraemon
sprimben doraemon
 
sprimbet ocean
sprimbet oceansprimbet ocean
sprimbet ocean
 
Pin bb 536816f7 katalog baju qirani anak
Pin bb 536816f7 katalog baju qirani anakPin bb 536816f7 katalog baju qirani anak
Pin bb 536816f7 katalog baju qirani anak
 
Cloud Applications on allergy and airborne diseases vulnerability by Pankaj Rahi
Cloud Applications on allergy and airborne diseases vulnerability by Pankaj RahiCloud Applications on allergy and airborne diseases vulnerability by Pankaj Rahi
Cloud Applications on allergy and airborne diseases vulnerability by Pankaj Rahi
 
Music Video Research
Music Video ResearchMusic Video Research
Music Video Research
 
PR and Influencer Marketing: Playing Nice in the Sandbox
PR and Influencer Marketing: Playing Nice in the SandboxPR and Influencer Marketing: Playing Nice in the Sandbox
PR and Influencer Marketing: Playing Nice in the Sandbox
 
The American Cancer Society’s Reach to Recovery Program
The American Cancer Society’s Reach to Recovery ProgramThe American Cancer Society’s Reach to Recovery Program
The American Cancer Society’s Reach to Recovery Program
 
Resume
ResumeResume
Resume
 
Maintenance Room Design.PDF
Maintenance Room Design.PDFMaintenance Room Design.PDF
Maintenance Room Design.PDF
 
10 claves para la innovacion social (octubre 2012 ciem).pdf
10 claves para la innovacion social (octubre 2012 ciem).pdf10 claves para la innovacion social (octubre 2012 ciem).pdf
10 claves para la innovacion social (octubre 2012 ciem).pdf
 
Denmark 2016 new
Denmark 2016 newDenmark 2016 new
Denmark 2016 new
 
мастер класс для педагогов
мастер класс для педагоговмастер класс для педагогов
мастер класс для педагогов
 
ahorro de energia
ahorro de energiaahorro de energia
ahorro de energia
 
It scan sumelev_vladivostok_ekbpromo
It scan sumelev_vladivostok_ekbpromoIt scan sumelev_vladivostok_ekbpromo
It scan sumelev_vladivostok_ekbpromo
 
Ezdikhana N7 - July 2016 (143)
Ezdikhana N7 - July 2016 (143)Ezdikhana N7 - July 2016 (143)
Ezdikhana N7 - July 2016 (143)
 
Sentencia Vania Queipul
Sentencia Vania QueipulSentencia Vania Queipul
Sentencia Vania Queipul
 
Virus y antivirus
Virus y antivirusVirus y antivirus
Virus y antivirus
 

Similar to Investigcion

Sistema de registro de windows
Sistema de registro de windowsSistema de registro de windows
Sistema de registro de windows
Rosariio92
 
Trucos windows xp
Trucos windows xpTrucos windows xp
Trucos windows xp
daesel
 
Trucos windows xp
Trucos windows xpTrucos windows xp
Trucos windows xp
daesel
 
Trucos windows xp
Trucos windows xpTrucos windows xp
Trucos windows xp
daesel
 
Trucos windows xp
Trucos windows xpTrucos windows xp
Trucos windows xp
daesel
 
Sistemas operativos lorena yadira1.1
Sistemas operativos lorena yadira1.1Sistemas operativos lorena yadira1.1
Sistemas operativos lorena yadira1.1
yadiraarango
 
Sistemas operativos lorena yadira1.1
Sistemas operativos lorena yadira1.1Sistemas operativos lorena yadira1.1
Sistemas operativos lorena yadira1.1
yadiraarango
 
Sistemas operativos lorena yadira1.1
Sistemas operativos lorena yadira1.1Sistemas operativos lorena yadira1.1
Sistemas operativos lorena yadira1.1
yadiraarango
 
Trabajo de registro
Trabajo de registroTrabajo de registro
Trabajo de registro
nidiau
 
Actividad 03.1 unix essentials file system basics.
Actividad 03.1 unix essentials file system basics.Actividad 03.1 unix essentials file system basics.
Actividad 03.1 unix essentials file system basics.
camilaml
 
Actividad 03.1 unix essentials file system basics.
Actividad 03.1 unix essentials file system basics.Actividad 03.1 unix essentials file system basics.
Actividad 03.1 unix essentials file system basics.
RastaAliria
 
Trabajo windows xp
Trabajo windows xpTrabajo windows xp
Trabajo windows xp
Jaime_95
 

Similar to Investigcion (20)

NFORENSE_REGISTRO.pdf
NFORENSE_REGISTRO.pdfNFORENSE_REGISTRO.pdf
NFORENSE_REGISTRO.pdf
 
Funcionamiento interno de un pc
Funcionamiento interno de un pcFuncionamiento interno de un pc
Funcionamiento interno de un pc
 
Sistema de registro de windows
Sistema de registro de windowsSistema de registro de windows
Sistema de registro de windows
 
Utilidades de diagnostico
Utilidades de diagnosticoUtilidades de diagnostico
Utilidades de diagnostico
 
Trucos windows xp
Trucos windows xpTrucos windows xp
Trucos windows xp
 
Trucos windows xp
Trucos windows xpTrucos windows xp
Trucos windows xp
 
Trucos windows xp
Trucos windows xpTrucos windows xp
Trucos windows xp
 
Trucos windows xp
Trucos windows xpTrucos windows xp
Trucos windows xp
 
Sistemas operativos lorena yadira1.1
Sistemas operativos lorena yadira1.1Sistemas operativos lorena yadira1.1
Sistemas operativos lorena yadira1.1
 
Sistemas operativos lorena yadira1.1
Sistemas operativos lorena yadira1.1Sistemas operativos lorena yadira1.1
Sistemas operativos lorena yadira1.1
 
Sistemas operativos lorena yadira1.1
Sistemas operativos lorena yadira1.1Sistemas operativos lorena yadira1.1
Sistemas operativos lorena yadira1.1
 
Trabajo de registro
Trabajo de registroTrabajo de registro
Trabajo de registro
 
Actividad 03.1 unix essentials file system basics.
Actividad 03.1 unix essentials file system basics.Actividad 03.1 unix essentials file system basics.
Actividad 03.1 unix essentials file system basics.
 
Actividad 03.1 unix essentials file system basics.
Actividad 03.1 unix essentials file system basics.Actividad 03.1 unix essentials file system basics.
Actividad 03.1 unix essentials file system basics.
 
Linux
LinuxLinux
Linux
 
Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativos
 
Comandos ms dos
Comandos ms dosComandos ms dos
Comandos ms dos
 
Actividad3.1
Actividad3.1Actividad3.1
Actividad3.1
 
Trabajo windows xp
Trabajo windows xpTrabajo windows xp
Trabajo windows xp
 
Tema 05 comandos de windows
Tema 05 comandos de windowsTema 05 comandos de windows
Tema 05 comandos de windows
 

Investigcion

  • 1. Efectos Tixcet.A se trata de un gusano que realiza copias de sí mismo por todo el ordenador. Para ello, realiza el siguiente proceso: # Cada vez que se accede a un directorio, crea una copia de sí mismo con el nombre del directorio al que se ha accedido. # Después, elimina todos los archivos que encuentre en ese directorio y crea una copia de sí mismo con el nombre del archivo original y extensión .EXE. # Además, la próxima vez que se acceda a ese directorio, si se selecciona uno de los archivos de ese directorio, el gusano volverá a crear una copia de ese archivo. # Las extensiones afectadas son las siguientes: - archivos de Office: .DOC, .XLS, .PPT, .MDB, .PDF y .XML. - archivos multimedia: .MP3, .3GP, .DAT, .MOV y .WAV. - archivos de compresión: .ZIP y .RAR. - archivos de imagen: .JPG, .BMP y .GIF. - archivos ejecutables: .BAT, .COM y .SCR. Cualquier archivo con alguna de las extensiones mencionadas previamente será eliminado por el gusano. Además, realiza las siguientes acciones: # Cuando es ejecutado, reinicia el ordenador. # Añade la palabra CETIX en el Área de notificación, como se puede observar en la siguiente imagen: # No permite que se puedan realizar copias de archivos, ya que deshabilita la opción Pegar a la hora de realizar la copia. # Cuando se selecciona un contenido para copiarlo, lo que realmente copia no es el contenido seleccionado, sino el siguiente texto: Hello ! My Name is CETiX, nice to meet you... # Impide la ejecución de las siguientes aplicaciones, entre otras: - Administrador de Tareas. - Editor del Registro de Windows. - consola de comandos (CMD). # Finaliza los procesos cuyo título de ventana tenga alguna de las siguientes cadenas de texto: ANVIECLAZZ BITDEF 6
  • 2. CabinetWClass DETEC ExploreWClass GRISOFT HIJACK KASPER NORMAN NORTON PROCEXPL SETUP SYSINTER WINDOWS De esta manera consigue dificultar su detección, ya que estos procesos pertenecen a diversas herramientas de seguridad y detección. # Cuando detecta ciertas herramientas de visualización, monitorización o detección y está abierto el Explorador de Windows, sustituye el título de ventana por el texto CETiX : Don't Kill Me Please...! My name is CETiX, Nice to meet you... , como se puede ver en la siguiente imagen: # Modifica las características de las propiedades de sistema: 6
  • 3. Metodo de Infección Tixcet.A crea los siguientes archivos, que son copias del gusano: * FILES.EXE, UNTITLED.EXE, ADMINISTRADOR.EXE, CETIX.EXE y XZ.EXE, en el directorio raíz de la unidad C:. * CETIX.EXE y RACUN.EXE, en el directorio de Windows. * POISON.EXE y TOXIC.EXE, en el directorio de sistema de Windows. * VSERVE.EXE, en el directorio de Inicio. De esta manera, consigue ejecutarse cada vez que Windows se inicia. Además, crea un archivo AUTORUN.INF en el directorio raíz de la unidad C:. De esta manera, conseguiría ejecutarse cada vez que se acceda a este directorio. Tixcet.A crea las siguientes entradas en el Registro de Windows: * HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run Poison = %sysdir%poison.exe donde %sysdir% es el directorio de sistema de Windows. * HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run Cetix = %windir%cetix.exe donde %windir% es el directorio de Windows. Mediante estas entradas, Tixcet.A consigue ejecutarse cada vez que Windows se inicia. * HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Control SafeBoot AlternateShell = %windir%cetix.exe * HKEY_LOCAL_MACHINE SYSTEM ControlSet002 Control SafeBoot AlternateShell = %windir%cetix.exe * HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SafeBoot AlternateShell = %windir%cetix.exe Mediante estas entradas, Tixcet.A consigue ejecutarse automáticamente aunque se reinicie el sistema en modo seguro. 6
  • 4. Tixcet.A modifica las siguientes entradas del Registro de Windows: * HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon Shell = Explorer.exe Cambia esta entrada por: HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon Shell = explorer.exe %sysdir%poison.exe * HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon Userinit = %sysdir%userinit.exe, Cambia esta entrada por: HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon Userinit = %sysdir%userinit.exe,%sysdir%poison.exe, Mediante estas modificaciones, Tixcet.A consigue ejecutarse cada vez que Windows se inicia. * HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion RegisteredOrganization Cambia esta entrada por: HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion RegisteredOrganization = CETiX BALi * HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion RegisteredOwner Cambia esta entrada por: HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion RegisteredOwner = XZ Estas dos modificaciones cambian la información de las propiedades de sistema referentes a la organización y al nombre de usuario al que está registrado el sistema operativo. * HKEY_CURRENT_USER Control Panel International Cambia esta entrada por: HKEY_CURRENT_USER Control Panel International 6
  • 5. s1159 = AM | CETiX * HKEY_CURRENT_USER Control Panel International Cambia esta entrada por: HKEY_CURRENT_USER Control Panel International s2359 = PM | CETiX Mediante estas dos modificaciones, añade la palabra CETIX en el Área de notificación. Además, Tixcet.A modifica las siguientes entradas del Registro de Windows: * HKEY_CLASSES_ROOT batfile shell open command (Default) = "%1" %* Cambia esta entrada por: HKEY_CLASSES_ROOT batfile shell open command (Default) = %sysdir%toxic.exe "%1"%* * HKEY_CLASSES_ROOT comfile shell open command (Default) = "%1" %* Cambia esta entrada por: HKEY_CLASSES_ROOT comfile shell open command (Default) = %sysdir%toxic.exe "%1"%* * HKEY_CLASSES_ROOT exefile shell open command (Default) = "%1" %* Cambia esta entrada por: HKEY_CLASSES_ROOT exefile shell open command (Default) = %sysdir%toxic.exe "%1"%* * HKEY_CLASSES_ROOT piffile shell open command (Default) = "%1" %* Cambia esta entrada por: HKEY_CLASSES_ROOT piffile shell open command (Default) = %sysdir%toxic.exe "%1"%* * HKEY_CLASSES_ROOT lnkfile shell open command (Default) = "%1" %* Cambia esta entrada por: HKEY_CLASSES_ROOT lnkfile shell open command (Default) = %sysdir%toxic.exe "%1"%* Mediante estas modificaciones, cada vez que se ejecuta un archivo con extensiones BAT, COM, EXE, PIF y LNK, además del archivo se ejecutará Tixcet.A. 6
  • 6. Por último, modifica estas entradas del Registro de Windows para ocultar su presencia y dificultar su detección: * HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer Advanced SuperHidden = 01, 00, 00, 00 Cambia esta entrada por: HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer Advanced SuperHidden = 00, 00, 00, 00 Oculta los archivos y carpetas con atributo de oculto. * HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer Advanced HideFileExt = 00, 00, 00, 00 Cambia esta entrada por: HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer Advanced HideFileExt = 01, 00, 00, 00 Oculta las extensiones de los archivos. * HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer Advanced ShowSuperHidden = 01, 00, 00, 00 Cambia esta entrada por: HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer Advanced ShowSuperHidden = 00, 00, 00, 00 Oculta los archivos del sistema operativo. Método de Propagación Tixcet.A llega al ordenador en un archivo que tiene el icono de un documento de Word, para así engañar al usuario y hacerle pensar que se trata de un archivo inofensivo: Además, se propaga realizando copias de sí mismo por todo el ordenador. Cada vez que se accede a algún directorio, crea una copia de sí mismo con el nombre del directorio, elimina los archivos que haya en ese directorio y crea copias de sí mismo con extensión .EXE y manteniendo el nombre del archivo original. 6
  • 7. Otros Detalles Tixcet.A está escrito en el lenguaje de programación Visual Basic v5.0. Este gusano tiene un tamaño de 46080 Bytes y está comprimido mediante UPX. Además, crea los siguientes archivos, que hacen referencia a su creador, como marca de infección: * ABOUTCETIX.HTML , en el directorio raíz de la unidad C: y en el Escritorio: 6
  • 8. *INFOBALI.TXT , en el directorio raíz de la unidad C: . 6