Viernes 15 de Noviembre de 2024, 12:28
SoloCodigo
Bienvenido(a),
Visitante
. Por favor,
ingresa
o
regístrate
.
¿Perdiste tu
email de activación?
Inicio
Foros
Chat
Ayuda
Buscar
Ingresar
Registrarse
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Telneton@p2p+mm
« anterior
próximo »
Imprimir
Páginas: [
1
]
Autor
Tema: Telneton@p2p+mm (Leído 3973 veces)
RadicalEd
Moderador
Mensajes: 2430
Nacionalidad:
Telneton@p2p+mm
«
en:
Jueves 23 de Noviembre de 2006, 23:10 »
0
Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:23-11-2006
Última Actualización: 23-11-2006
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/TelnetOn@P2P+MM
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P+MM] - Se propaga por redes P2P y correo electrónico.
Tamaño (bytes): 148600
Tamaño comprimido (bytes): 20085
Alias:W32/TelnetOn.A.worm (Panda Software)
Detalles
Método Infección/Efectos
TelnetOn crea los siguientes archivos, que son copias de sí mismo:
* TD.EXE, en el directorio raíz de la unidad C:.
* SVHOST.EXE, en la subcarpeta SYSTEM del directorio de Windows.
* CPXP.EXE, en el directorio de Inicio de las unidades C:, D: y E:, si las hubiera.
* CONVERTPATCH-KB5647731.EXE, en la subcarpeta MIRC del directorio Archivos de Programa, si este programa estuviera instalado.
* CONVERTPATCH-KB5645665.EXE, en la unidad A:.
Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Crea las siguientes claves en el registro, para ejecutarse cada vez que se arranque el sistema Windows:
Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ MICROSOFT\ WINDOWS\ CurrentVersion\ RUN
Valor: svhost.exe
También crea las siguientes entradas en el registro:
Clave: HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\
Terminal Server\ fDenyTSConnections
Clave: HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\
Terminal Server\ fAllowToGetHelp
Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ TelnetServer\ 1.0\ NTML
Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ TelnetServer\ 1.0\ TelnetPort
Clave: HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ TlntSvr\ ErrorControl
Clave: HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ TlntSvr\ Start
Clave: HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ TlntSvr\ Type
Clave: HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\
System\ DisableTaskMgr
Clave: # HKEY_CURRENT_USER\ Software\ yahoo\ pager\ profiles\ Custom Msgs
Valor:
www.cliper-
bloqueado -.com/game.html
Clave: HKEY_CURRENT_USER\ Software\ America Online\ AOL Instant Messenger
\ CurrentVersion\ Server\ DefaultHost
Clave: HKEY_CURRENT_USER\ Software\ America Online\ AOL Instant Messenger
\ CurrentVersion\ Server\ Host
También realiza las siguientes acciones:
* Finaliza los siguientes procesos, si se encuentran activos en memoria:
A
ACKWIN32.exe, ADAWARE.exe, ADVXDWIN.exe , AGENTSVR.exe, AGENTW.exe, ALERTSVC.exe, ALEVIR.exe, ALOGSERV.exe, AMON9X.exe, ANTIVIRUS.exe, ANTS.exe, APIMONITOR.exe, APLICA32.exe, APVXDWIN.exe, ATCON.exe, ATRO55EN.exe, ATUPDATER.exe, ATWATCH.exe, AUPDATE.exe, AUTODOWN.exe, AUTOTRACE.exe, AUTOUPDATE.exe, AVCONSOL.exe, AVE32.exe, AVGCC32.exe, AVGCTRL.exe, AVGNT.exe, AVGSERV.exe, AVGSERV9.exe, AVGW.exe, AVKPOP.exe, AVKSERV.exe, AVKSERVICE.exe, AVKWCTl9.exe, AVLTMAIN.exe, AVNT.exe, AVP32.exe, AVPCC.exe, AVPDOS32.exe, AVPM.exe, AVPTC32.exe, AVPUPD.exe, AVSCHED32.exe, AVSYNMGR.exe, AVWINNT.exe, AVWUPD.exe, AVWUPD32.exe, AVWUPSRV.exe, AVXMONITOR9X.exe, AVXMONITORNT.exe, AVXQUAR.exe.
B
BACKWEB.exe, BARGAINS.exe, BD_PROFESSIONAL.exe, BEAGLE.exe, BELT.exe, BIDEF.exe, BIDSERVER.exe, BIPCP.exe, BIPCPEVALSETUP.exe, BLACKD.exe, BLACKICE.exe, BOOTCONF.exe, BOOTWARN.exe, BORG2.exe, BRASIL.exe, BS120.exe, BUNDLE.exe.
C
CCAPP.exe, CCEVTMGR.exe, CCPXYSVC.exe, CFGWIZ.exe, CFIADMIN.exe, CFIAUDIT.exe, CFINET.exe, CFINET32.exe, CLEAN.exe, CLEANER.exe, CLEANER3.exe, CLEANPC.exe, CLICK.exe, CMD32.exe, CMESYS.exe, CMGRDIAN.exe, CMON016.exe, CONNECTIONMONITOR.exe, CPF9X206.exe, CPFNT206.exe, CTRL.exe, CWNB181.exe, CWNTDWMO.exe.
I
IFACE.exe, IFW2000.exe, INETLNFO.exe, INFUS.exe, INFWIN.exe, INIT.exe, INTDEL.exe, INTREN.exe, IOMON98.exe, ISTSVC.exe.
J
JAMMER.exe, JDBGMRG.exe, JEDI.exe.
K
KAVLITE40ENG.exe, KAVPERS40ENG.exe, KAVPF.exe, KEENVALUE.exe, KERNEL32.exe, KILLPROCESSSETUP161.exe.
L
LAUNCHER.exe, LDNETMON.exe, LDPRO.exe, LDPROMENU.exe, LDSCAN.exe, LNETINFO.exe, LOADER.exe, LOCALNET.exe, LOCKDOWN.exe, LOCKDOWN2000.exe, LOOKOUT.exe, LORDPE.exe, LSETUP.exe, LUALL.exe, LUAU.exe, LUCOMSERVER.exe, LUINIT.exe, LUSPT.exe.
M
MAPISVC32.exe, MCAGENT.exe, MCMNHDLR.exe, MCSHIELD.exe, MCTOOL.exe, MCUPDATE.exe, MCVSRTE.exe, MCVSSHLD.exe, MFIN32.exe, MFW2EN.exe, MFWENG3.exe, MGAVRTCL.exe, MGAVRTE.exe, MGHTML.exe, MGUI.exe, MINILOG.exe, MONITOR.exe, MOOLIVE.exe, MOSTAT.exe, MPFAGENT.exe, MPFSERVICE.exe, MPFTRAY.exe, MRFLUX.exe, MSAPP.exe, MSBB.exe, MSBLAST.exe, MSCACHE.exe, MSCCN32.exe, MSCMAN.exe, MSCONFIG.exe, MSDM.exe, MSDOS.exe, MSIEXEC16.exe, MSINFO32.exe, MSLAUGH.exe, MSMGT.exe, MSMSGRI32.exe, MSSMMC32.exe, MSSYS.exe, MSVXD.exe, MU0311AD.exe, MWATCH.exe.
N
N32SCANW.exe, NAVAP.exe, NAVAPSVC.exe, NAVAPSVC.exe, NAVAPW32.exe, NAVDX.exe, NAVLU32.exe, NAVNT.exe, NAVSTUB.exe, NAVW32.exe, NAVWNT.exe, NC2000.exe, NCINST4.exe, NDD32.exe, NEOMONITOR.exe, NEOWATCHLOG.exe, NETARMOR.exe, NETD32.exe, NETINFO.exe, NETMON.exe, NETSCANPRO.exe, NETSTAT.exe, NETUTILS.exe, NISSERV.exe, NISUM.exe, NMAIN.exe, NOD32.exe, NORMIST.exe, NORTON_INTERNET_SECU_3.exe, NOTSTART.exe, NPF40_TW_98_NT_ME_2K.exe, NPFMESSENGER.exe, NPROTECT.exe, NPSCHECK.exe, NPSSVC.exe, NSCHED32.exe, NSSYS32.exe, NSTASK32.exe, NSUPDATE.exe, NTRTSCAN.exe, NTVDM.exe, NTXconfig.exe, NUPGRADE.exe, NVARCH16.exe, NVC95.exe, NVSVC32.exe, NWINST4.exe, NWSERVICE.exe, NWTOOL16.exe.
O
OLLYDBG.exe, ONSRVR.exe, OPTIMIZE.exe, OSTRONET.exe, OTFIX.exe, OUTPOST.exe, OUTPOSTINSTALL.exe, OUTPOSTPROINSTALL.exe.
P
PADMIN.exe, PANIXK.exe, PATCH.exe, PAVCL.exe, PAVPROXY.exe, PAVSCHED.exe, PCFWALLICON.exe, PCIP10117_0.exe, PCSCAN.exe, PDSETUP.exe, PERISCOPE.exe, PERSFW.exe, PERSWF.exe, PFWADMIN.exe, PGMONITR.exe, PINGSCAN.exe, PLATIN.exe, POP3TRAP.exe, POPROXY.exe, POPSCAN.exe, PORTDETECTIVE.exe, PORTMONITOR.exe, POWERSCAN.exe, PPINUPDT.exe, PPTBC.exe, PPVSTOP.exe, PRIZESURFER.exe, PRMVR.exe, PROCDUMP.exe, PROCESSMONITOR.exe, PROCEXPLORERV1.exe, PROGRAMAUDITOR.exe, PROPORT.exe, PROTECTX.exe, PURGE.exe.
Q
QCONSOLE.exe, QSERVER.exe.
R
RAPAPP.exe, RAV7WIN.exe, RAV8WIN32ENG.exe, RCSYNC.exe, REALMON.exe, REGED.exe, REGEDIT.exe, REGEDT32.exe, RESCUE.exe, RESCUE32.exe, RRGUARD.exe, RSHELL.exe, RTVSCAN.exe, RTVSCN95.exe, RULAUNCH.exe, RUN32DLL.exe, RUNDLL.exe, RUNDLL16.exe, RUXDLL32.exe.
S
SAFEWEB.exe, SAHAGENT.exe, SAVENOW.exe, SBSERV.exe, SCAM32.exe, SCAN32.exe, SCAN95.exe, SCANPM.exe, SCRSCAN.exe, Setup.exe, SETUP_FLOWPROTECTOR_US.exe, SETUPVAMEEVAL.exe, SGSSFW32.exe, SHELLSPYINSTALL.exe, SHOWBEHIND.exe, SMSS32.exe, SPERM.exe, SPHINX.exe, SPOLER.exe, SPOOLCV.exe, SPOOLSV32.exe, SPYXX.exe, SREXE.exe, SS3EDIT.exe, SSG_4104.exe, SSGRATE.exe, START.exe, STCLOADER.exe, SUPFTRL.exe, SUPPORT.exe, SUPPORTER5.exe, SWEEP95.exe, SWEEPNET.exe, SWEEPSRV.exe, SWNETSUP.exe, SYMPROXYSVC.exe, SYMTRAY.exe, SYS.exe, SYSEDIT.exe, SYSTEM.exe, SYSTEM32.exe, SYSUPD.exe.
T
TASKMG.exe, TASKMO.exe, TASKMON.exe, TAUMON.exe, TBSCAN.exe, TEEKIDS.exe, TFAK5.exe, TGBOB.exe, TITANIN.exe, TITANINXP.exe, TRACERT.exe, TRICKLER.exe, TRJSCAN.exe, TRJSETUP.exe, TROJANTRAP3.exe, TSADBOT.exe, TVTMD.exe.
U
UNDOBOOT.exe, UPDAT.exe, UPDATE.exe, UPGRAD.exe, UTPOST.exe. Estos procesos pertenecen, entre otros, a diversas herramientas de seguridad, como por ejemplo programas antivirus y cortafuegos. Por el contrario, algunos de dichos procesos pertenecen a otro malware.
* Evita que el usuario pueda acceder a los siguientes sitios, pertenecientes mayoritariamente a compañías antivirus:
o
http://msg.edit.yahoo.com/config/
o
http://update.messenger.yahoo.com/msgrcli8.html
o login.oscar.aol.com
o relay.msg.yahoo.com
o scs.msg.yahoo.com
o shttp.msg.yahoo.com/notify/
o
www.altavista.com
o
www.altavista.us
o
www.aria-security.net
o
www.ashiyane.ir
o
www.blogfa.com
o
www.crouz.com
o
www.dogpile.com
o
www.forum.irvirus.com
o
www.f-secure.com
o
www.gmail.com
o
www.google.com
o
www.hauri.net
o
www.hotmail.com
o
www.imenantivirus.com
o
www.iranvig.com
o
www.kasperskylabs.ir
o
www.liveupdate.symantec.com
o
www.mail.yahoo.com
o
www.mcafee.com
o
www.microsoft.com
o
www.msn.com
o
www.nod32.com
o
www.norman.com
o
www.p30download.com
o
www.p30warez.com
o
www.p30world.com
o
www.pandasecurity.com
o
www.persianblog.com
o
www.ravantivirus.com
o
www.sav25.com
o
www.sophos.com
o
www.symantec.com
o
www.virangar.net
o
www.virangar.org
o
www.virus.com
o
www.viruslist.com
o
www.xnxx.com
o
www.xxl.com
o
www.yahoo.com
* Consigue el control total del ordenador afectado. Para ello, realiza el siguiente proceso:
o Crea un usuario con permisos de administrador.
o Utiliza esta cuenta para acceder libremente al servicio Telnet. Este servicio es un protocolo que permite acceder mediante una red a otro ordenador para manejarlo como si se estuviera sentado delante de él.
* Deshabilita el Administrador de Tareas.
* Muestra el siguiente mensaje de error falso cuando se ejecuta:
Método de propagación
TelnetOn.A se propaga a través de los programas P2P eMule, KaZaA y Morpheus, del programa mIRC y de correo electrónico.
o Propagación a través de P2P
+ Crea copias de sí mismo en los directorios compartidos My shared Folder e Incoming de las unidades C:, D: y E: pertenecientes a los programas P2P eMule, KaZaA y Morpheus, y en un directorio común a todos los usuarios ubicado en C:\Documents and Settings\All Users\Documentos compartidos en Windows XP.
+ Utiliza los los siguientes nombres:
# EMINEM.EXE
# EVANESCENCE.EXE
# KEYGEN.EXE
# LINKIN PARK.EXE
# SEX.EXE
# THE PUSSYCAT DOLLS.EXE
+ Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por TelnetOn, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
+ Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por TelnetOn.
o Propagación mediante IRC
+ Envía una copia de sí mismo a través del protocolo DCC (Direct Client-to-Client) a los usuarios que estén conectados al programa mIRC.
+ Una vez enviada, a los usuarios se les muestra una ventana con el mensaje
+ Test My New Game
.
o Propagación por correo electrónico
+ Abre Outlook de manera oculta e intenta enviar un mensaje de correo electrónico a todos los contactos que encuentre en la Libreta de Direcciones.
+ El contenido del mensaje es el siguiente:
hi i send u this game , i hope u like it! u can also
vist my website for other games!
www.cliper-
bloqueado -com/game.html
by the way i put a lot of new sex video clips in website
www.cliper-
bloqueado -com/sex.exe download free! u can find me
between them too!!!
visit my website net localgroup administrators
+ Además, este mensaje incluye un archivo adjunto que contiene una copia de sí mismo.
Otros detalles
Este gusano está escrito en el lenguaje de programación Visual Basic v6. Tiene un tamaño de 20085 Bytes cuando está comprimido mediante FSG y de 148600 Bytes una vez descomprimido.
Tweet
El pasado son solo recuerdos, el futuro son solo sueños
Imprimir
Páginas: [
1
]
« anterior
próximo »
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Telneton@p2p+mm