Tang

TANG, gusano destructivo infecta vía Correo, Chat, redes P2P, ICQ y redes compartidas.

W32/Tang@MM, W32/Gant@mm, I-worm.Tang@mm

Tang es un gusano destructivo, reportado el 19 de Febrero del 2003, de alta propagación masiva a través de un mensaje de correo con 6 formatos y sus archivos anexados, elegidos en forma aleatoria. Se difunde además vía el IRC (Internet Chat Relay), ICQ, redes Peer to Peer Kazaa, BearShare, eDonkey, Morpheus, Grokster, LimeWire y Gnucleus, infecta unidades de red con recursos compartidos, archivos .BAT, documentos de MS Word y hojas de cálculo MS Excel.

Está desarrollado en Visual Basic e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP tiene 21 KB de extensión, permanece residente en memoria y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Haciendo uso de las las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

Sus formatos de mensajes son los siguientes:

Formato 1
Asunto: Important Notice
Contenido:
Hello readers,
A few days ago the Microsoft Network Email System
automatically deleted my email account. This happened
because there is a bug in the Microsoft Network Email
System that may unintentionally remove email accounts
Attachments without prompting. I have included a patch with this
email that will fix the bug on un-patched computers.
If you need help installing this file, read attached
help file.
Thanks.
Anexado: EmailFix.exe

Formato 2
Asunto: Mp3 sites

Contenido:
Hello,
Try this new software that can download practically any .mp3 file that is found on the internet. I use this program all the time and I think it's great!
Have fun!
Anexado: Mp3Connect.exe

Formato 3
Asunto: A ScreenSaver
Contenido:
Hello everyone,
I found a really funny ScreenSaver on the net yesterday and I think that you would find it funny like I did :) It's in the attachments. Cya!
Anexado: Hilarious.scr

Formato 4
Asunto: Email spoofer
Contenido:
Hello all,
Take a look at this email spoofer that I have included in the attachments. An email spoofer is a program that lets you email from anyone@anything.com! it's really fun to use for pranks :)
Have Fun!
Anexado: EmailGen.exe

Formato 5
Asunto: Password Cracker
Contenido:
Hello Everyone,
I have a cool Password Cracker for you in the attachments :) this Password Cracker can crack almost any password out there! Try it for yorself!
Cya!
Anexado: PswdCrack.exe

Formato 6
Asunto: Hotmail passwords
Contenido:
Hello Readers,
Have you tried to crack a Hotmail password ... and failed? Try the 'Hotmail Password Cracker' program that I have included in the attachments. Happy hacking!
Anexado: EmailHacker.exe

Al ser ejecutado, muestra una falso mensaje de error:

D:\SAMPLES\W32TANG.EXE
D:\SAMPLES\W32TANG.exe is not a valid Win32 application

El nombre del archivo ejecutable es el que fue enviado como anexado.

el archivo se auto-copia al directorio %Windir% con los siguientes nombres:

Hilarious.scr
Keymapp32.exe
Msdnssrv.exe
Msnetwrk32.exe
Msostart32.exe
Msregmc32.exe
Msscndsk.exe
Mwintype.exe
Notice.tng
Uicode32.scr
Windns32.exe
Wncnet32.exe
Wnetcon32.exe

Asimismo se auto-copia a la carpeta %System% con los siguientes nombres:

Cmdinst32.exe
Dostng32.pif
Mscabdrv.exe
MSTng32.exe
Mswpdmgr.exe
Netwc32.exe
OMServ32.exe
Re-inst32.scr
Unitxt32.exe
Wincmndr.exe
Winlnkmgr.exe
Autostart Techniques

Para ejecutarse la próxima vez que se inicie el sistema el gusano crea la siguiente llave de registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
Mstng32 = "%System%\MSTng32.exe"

Finalmente el gusano genera la siguiente llave que alude a su autoría:

[HKEY_CURRENT_USER\Software\Zed/[rRlf]]

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.

Para propagarse vía a través del IRC (Internet Chat Relay) el gusano libera un SCRIPT.INI en las siguientes rutas del software mIRC, si éste se encuentra instalado en el sistema infectado:

C:\Mirc
C:\Mirc32
C:\Program Files\Mirc
C:\Programme\Mirc
C:\Programmi\Mirc
C:\Program Files\Mirc32
C:\Programme\Mirc32
C:\Programmi\Mirc32

Para infectar vía el software Pirch, el gusano rastrea las siguientes rutas:

C:\Pirch32
C:\Program Files\Pirch
C:\Programme\Pirch
C:\Programmi\Pirch
C:\Program Files\Pirch32
C:\Programme\Pirch32
C:\Programmi\Pirch32

Y si alguna de estas es hallada, genera en esa carpeta, un archivo llamado EVENTS.INI y en todos los casos infectará a los usuarios que se encuentren conectados en una misma sesión de chat.

Para propagarse a través de red compartidas, el gusano enumera cada una de las unidades de esa red y libera una copia de sí mismo con el nombre de LICENSE.EXE en el directorio raíz.

Con el objeto de infectar a través de las redes de archivos compartidos Peer to Peer busca en todas las unidades de disco, los archivos con las siguientes extensiones:

avi
bat
bmp
dib
gif
jpe
jpeg
jpg
lnk
mdb
mov
mp2
mp3
mpe
mpeg
mpg
pif
png
pps
ppt
scr
tif
tiff
tmp
txt

Luego busca los archivos con las extensiones anteriores en las siguientes carpetas:

MyMusic
Archivos de programa\LimeWire\Shared
Programme\LimeWire\Shared
Programmi\LimeWire\Shared
Program Files\Gnucleus\Downloads
Programme\Gnucleus\Downloads
Programmi\Gnucleus\Downloads
Program Files\Gnucleus\Downloads\Incoming
Programme\Gnucleus\Downloads\Incoming
Programmi\Gnucleus\Downloads\Incoming
Archivos de programa\Shareaza\Downloads
Programme\Shareaza\Downloads
Programmi\Shareaza\Downloads
Archivos de programa\Kazaa\My Shared Folder
My Music
Programme\Kazaa\My Shared Folder
Programmi\Kazaa\My Shared Folder
Program Files\Kazaa Lite\My Shared Folder
Programme\Kazaa Lite\My Shared Folder
Programmi\Kazaa Lite\My Shared Folder
Program Files\BearShare\Shared
Programme\BearShare\Shared
Programmi\BearShare\Shared
Program Files\Edonkey2000\Incoming
Programme\Edonkey2000\Incoming
Programmi\Edonkey2000\Incoming
Program Files\Morpheus\My Shared Folder
Mis Documentos\My Music
Programme\Morpheus\My Shared Folder
Program Files\Grokster\My Grokster
Programme\Grokster\My Grokster
Programmi\Grokster\My Grokster
Program Files\ICQ\Shared Files
Programme\ICQ\Shared Files
Programmi\ICQ\Shared Files
Kazaa\My Shared Folder
My Downloads

Al hallar los archivos con dichas extensiones en las carpetas mencionadas, el gusano procede a borrarlas y las reemplaza con el código viral del gusano, agregándoles una segunda extensión .EXE, dejándolos inoperativos.

El gusano también infecta y se propaga por medio de los archivos .BAT, documentos de MS Word y hojas de cálculo MS Excel a los cuales inserta su código viral.

En el código del virus se muestra un texto alusivo a su autoría:

W32/TaNG by Zed/[rRlf]

Los payloads de este gusano son:

Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook.
Infecta a través de la mayoría de redes Peer to Peer.
Infecta via Chat haciendo uso de los software más populares.
Infecta via el ICQ.
Infecta a través de unidades de disco de redes compartidas.
Agrega una segunda extensión .EXE a archivos con diversas extensiones ubicados en determinadas rutas y carpetas, dejándolos inoperativos.
Infecta archivos .BAT, documentos de MS Word y hojas de cálculo MS Excel.

PER ANTIVIRUS® versión 7.9 con registro de virus al 19 de Febrero del 2003 detecta y elimina eficientemente este gusano.