Tixcet.A es un gusano que se propaga creando copias de sí mismo en los directorios del ordenador y eliminando archivos. Modifica entradas del registro para ejecutarse automáticamente y dificultar su detección. Añade la palabra "CETIX" en la barra de notificación e impide el uso de herramientas de seguridad.
1. Efectos
Tixcet.A se trata de un gusano que realiza copias de sí mismo por todo
el ordenador. Para ello, realiza el siguiente proceso:
# Cada vez que se accede a un directorio, crea una copia de sí mismo con
el nombre del directorio al que se ha accedido.
# Después, elimina todos los archivos que encuentre en ese directorio y
crea una copia de sí mismo con el nombre del archivo original y
extensión .EXE.
# Además, la próxima vez que se acceda a ese directorio, si se
selecciona uno de los archivos de ese directorio, el gusano volverá a
crear una copia de ese archivo.
# Las extensiones afectadas son las siguientes:
- archivos de Office: .DOC, .XLS, .PPT, .MDB, .PDF y .XML.
- archivos multimedia: .MP3, .3GP, .DAT, .MOV y .WAV.
- archivos de compresión: .ZIP y .RAR.
- archivos de imagen: .JPG, .BMP y .GIF.
- archivos ejecutables: .BAT, .COM y .SCR.
Cualquier archivo con alguna de las extensiones mencionadas
previamente será eliminado por el gusano.
Además, realiza las siguientes acciones:
# Cuando es ejecutado, reinicia el ordenador.
# Añade la palabra CETIX en el Área de notificación, como se puede
observar en la siguiente imagen:
# No permite que se puedan realizar copias de archivos, ya que
deshabilita la opción Pegar a la hora de realizar la copia.
# Cuando se selecciona un contenido para copiarlo, lo que realmente
copia no es el contenido seleccionado, sino el siguiente texto:
Hello ! My Name is CETiX, nice to meet you...
# Impide la ejecución de las siguientes aplicaciones, entre otras:
- Administrador de Tareas.
- Editor del Registro de Windows.
- consola de comandos (CMD).
# Finaliza los procesos cuyo título de ventana tenga alguna de las
siguientes cadenas de texto:
ANVIECLAZZ
BITDEF
6
2. CabinetWClass
DETEC
ExploreWClass
GRISOFT
HIJACK
KASPER
NORMAN
NORTON
PROCEXPL
SETUP
SYSINTER
WINDOWS
De esta manera consigue dificultar su detección, ya que estos procesos
pertenecen a diversas herramientas de seguridad y detección.
# Cuando detecta ciertas herramientas de visualización,
monitorización o detección y está abierto el Explorador de Windows,
sustituye el título de ventana por el texto CETiX : Don't Kill Me
Please...! My name is CETiX, Nice to meet you... , como se puede ver en la
siguiente imagen:
# Modifica las características de las propiedades de sistema:
6
3. Metodo de Infección
Tixcet.A crea los siguientes archivos, que son copias del gusano:
* FILES.EXE, UNTITLED.EXE, ADMINISTRADOR.EXE, CETIX.EXE y XZ.EXE,
en el directorio raíz de la unidad C:.
* CETIX.EXE y RACUN.EXE, en el directorio de Windows.
* POISON.EXE y TOXIC.EXE, en el directorio de sistema de Windows.
* VSERVE.EXE, en el directorio de Inicio. De esta manera, consigue
ejecutarse cada vez que Windows se inicia.
Además, crea un archivo AUTORUN.INF en el directorio raíz de la unidad
C:. De esta manera, conseguiría ejecutarse cada vez que se acceda a
este directorio.
Tixcet.A crea las siguientes entradas en el Registro de Windows:
* HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows
CurrentVersion Run
Poison = %sysdir%poison.exe
donde %sysdir% es el directorio de sistema de Windows.
* HKEY_CURRENT_USER Software Microsoft Windows
CurrentVersion Run
Cetix = %windir%cetix.exe
donde %windir% es el directorio de Windows.
Mediante estas entradas, Tixcet.A consigue ejecutarse cada vez que
Windows se inicia.
* HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Control SafeBoot
AlternateShell = %windir%cetix.exe
* HKEY_LOCAL_MACHINE SYSTEM ControlSet002 Control SafeBoot
AlternateShell = %windir%cetix.exe
* HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control
SafeBoot
AlternateShell = %windir%cetix.exe
Mediante estas entradas, Tixcet.A consigue ejecutarse
automáticamente aunque se reinicie el sistema en modo seguro.
6
4. Tixcet.A modifica las siguientes entradas del Registro de Windows:
* HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT
CurrentVersion Winlogon
Shell = Explorer.exe
Cambia esta entrada por:
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT
CurrentVersion Winlogon
Shell = explorer.exe %sysdir%poison.exe
* HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT
CurrentVersion Winlogon
Userinit = %sysdir%userinit.exe,
Cambia esta entrada por:
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT
CurrentVersion Winlogon
Userinit = %sysdir%userinit.exe,%sysdir%poison.exe,
Mediante estas modificaciones, Tixcet.A consigue ejecutarse cada vez
que Windows se inicia.
* HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT
CurrentVersion
RegisteredOrganization
Cambia esta entrada por:
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT
CurrentVersion
RegisteredOrganization = CETiX BALi
* HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT
CurrentVersion
RegisteredOwner
Cambia esta entrada por:
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT
CurrentVersion
RegisteredOwner = XZ
Estas dos modificaciones cambian la información de las propiedades de
sistema referentes a la organización y al nombre de usuario al que
está registrado el sistema operativo.
* HKEY_CURRENT_USER Control Panel International
Cambia esta entrada por:
HKEY_CURRENT_USER Control Panel International
6
5. s1159 = AM | CETiX
* HKEY_CURRENT_USER Control Panel International
Cambia esta entrada por:
HKEY_CURRENT_USER Control Panel International
s2359 = PM | CETiX
Mediante estas dos modificaciones, añade la palabra CETIX en el Área
de notificación.
Además, Tixcet.A modifica las siguientes entradas del Registro de
Windows:
* HKEY_CLASSES_ROOT batfile shell open command
(Default) = "%1" %*
Cambia esta entrada por:
HKEY_CLASSES_ROOT batfile shell open command
(Default) = %sysdir%toxic.exe "%1"%*
* HKEY_CLASSES_ROOT comfile shell open command
(Default) = "%1" %*
Cambia esta entrada por:
HKEY_CLASSES_ROOT comfile shell open command
(Default) = %sysdir%toxic.exe "%1"%*
* HKEY_CLASSES_ROOT exefile shell open command
(Default) = "%1" %*
Cambia esta entrada por:
HKEY_CLASSES_ROOT exefile shell open command
(Default) = %sysdir%toxic.exe "%1"%*
* HKEY_CLASSES_ROOT piffile shell open command
(Default) = "%1" %*
Cambia esta entrada por:
HKEY_CLASSES_ROOT piffile shell open command
(Default) = %sysdir%toxic.exe "%1"%*
* HKEY_CLASSES_ROOT lnkfile shell open command
(Default) = "%1" %*
Cambia esta entrada por:
HKEY_CLASSES_ROOT lnkfile shell open command
(Default) = %sysdir%toxic.exe "%1"%*
Mediante estas modificaciones, cada vez que se ejecuta un archivo con
extensiones BAT, COM, EXE, PIF y LNK, además del archivo se ejecutará
Tixcet.A.
6
6. Por último, modifica estas entradas del Registro de Windows para
ocultar su presencia y dificultar su detección:
* HKEY_CURRENT_USER Software Microsoft Windows
CurrentVersion Explorer Advanced
SuperHidden = 01, 00, 00, 00
Cambia esta entrada por:
HKEY_CURRENT_USER Software Microsoft Windows
CurrentVersion Explorer Advanced
SuperHidden = 00, 00, 00, 00
Oculta los archivos y carpetas con atributo de oculto.
* HKEY_CURRENT_USER Software Microsoft Windows
CurrentVersion Explorer Advanced
HideFileExt = 00, 00, 00, 00
Cambia esta entrada por:
HKEY_CURRENT_USER Software Microsoft Windows
CurrentVersion Explorer Advanced
HideFileExt = 01, 00, 00, 00
Oculta las extensiones de los archivos.
* HKEY_CURRENT_USER Software Microsoft Windows
CurrentVersion Explorer Advanced
ShowSuperHidden = 01, 00, 00, 00
Cambia esta entrada por:
HKEY_CURRENT_USER Software Microsoft Windows
CurrentVersion Explorer Advanced
ShowSuperHidden = 00, 00, 00, 00
Oculta los archivos del sistema operativo.
Método de Propagación
Tixcet.A llega al ordenador en un archivo que tiene el icono de un
documento de Word, para así engañar al usuario y hacerle pensar que
se trata de un archivo inofensivo:
Además, se propaga realizando copias de sí mismo por todo el
ordenador. Cada vez que se accede a algún directorio, crea una copia de
sí mismo con el nombre del directorio, elimina los archivos que haya en
ese directorio y crea copias de sí mismo con extensión .EXE y
manteniendo el nombre del archivo original.
6
7. Otros Detalles
Tixcet.A está escrito en el lenguaje de programación Visual Basic v5.0.
Este gusano tiene un tamaño de 46080 Bytes y está comprimido
mediante UPX.
Además, crea los siguientes archivos, que hacen referencia a su
creador, como marca de infección:
* ABOUTCETIX.HTML , en el directorio raíz de la unidad C: y en el
Escritorio:
6