Autor Tema: Telneton@p2p+mm (Leído 3846 veces)

RadicalEd · « **en:** Jueves 23 de Noviembre de 2006, 23:10 »

Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:23-11-2006
Última Actualización: 23-11-2006
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/TelnetOn@P2P+MM
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P+MM] - Se propaga por redes P2P y correo electrónico.
Tamaño (bytes): 148600
Tamaño comprimido (bytes): 20085
Alias:W32/TelnetOn.A.worm (Panda Software)
Detalles

Método Infección/Efectos
TelnetOn crea los siguientes archivos, que son copias de sí mismo:

* TD.EXE, en el directorio raíz de la unidad C:.
* SVHOST.EXE, en la subcarpeta SYSTEM del directorio de Windows.
* CPXP.EXE, en el directorio de Inicio de las unidades C:, D: y E:, si las hubiera.
* CONVERTPATCH-KB5647731.EXE, en la subcarpeta MIRC del directorio Archivos de Programa, si este programa estuviera instalado.
* CONVERTPATCH-KB5645665.EXE, en la unidad A:.

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

Crea las siguientes claves en el registro, para ejecutarse cada vez que se arranque el sistema Windows:

Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ MICROSOFT\ WINDOWS\ CurrentVersion\ RUN
Valor: svhost.exe

También crea las siguientes entradas en el registro:

Clave: HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\
Terminal Server\ fDenyTSConnections

Clave: HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\
Terminal Server\ fAllowToGetHelp

Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ TelnetServer\ 1.0\ NTML

Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ TelnetServer\ 1.0\ TelnetPort

Clave: HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ TlntSvr\ ErrorControl

Clave: HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ TlntSvr\ Start

Clave: HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ TlntSvr\ Type

Clave: HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\
System\ DisableTaskMgr

Clave: # HKEY_CURRENT_USER\ Software\ yahoo\ pager\ profiles\ Custom Msgs
Valor: www.cliper- bloqueado -.com/game.html

Clave: HKEY_CURRENT_USER\ Software\ America Online\ AOL Instant Messenger ™
\ CurrentVersion\ Server\ DefaultHost

Clave: HKEY_CURRENT_USER\ Software\ America Online\ AOL Instant Messenger ™
\ CurrentVersion\ Server\ Host

También realiza las siguientes acciones:

* Finaliza los siguientes procesos, si se encuentran activos en memoria:

A
ACKWIN32.exe, ADAWARE.exe, ADVXDWIN.exe , AGENTSVR.exe, AGENTW.exe, ALERTSVC.exe, ALEVIR.exe, ALOGSERV.exe, AMON9X.exe, ANTIVIRUS.exe, ANTS.exe, APIMONITOR.exe, APLICA32.exe, APVXDWIN.exe, ATCON.exe, ATRO55EN.exe, ATUPDATER.exe, ATWATCH.exe, AUPDATE.exe, AUTODOWN.exe, AUTOTRACE.exe, AUTOUPDATE.exe, AVCONSOL.exe, AVE32.exe, AVGCC32.exe, AVGCTRL.exe, AVGNT.exe, AVGSERV.exe, AVGSERV9.exe, AVGW.exe, AVKPOP.exe, AVKSERV.exe, AVKSERVICE.exe, AVKWCTl9.exe, AVLTMAIN.exe, AVNT.exe, AVP32.exe, AVPCC.exe, AVPDOS32.exe, AVPM.exe, AVPTC32.exe, AVPUPD.exe, AVSCHED32.exe, AVSYNMGR.exe, AVWINNT.exe, AVWUPD.exe, AVWUPD32.exe, AVWUPSRV.exe, AVXMONITOR9X.exe, AVXMONITORNT.exe, AVXQUAR.exe.

B
BACKWEB.exe, BARGAINS.exe, BD_PROFESSIONAL.exe, BEAGLE.exe, BELT.exe, BIDEF.exe, BIDSERVER.exe, BIPCP.exe, BIPCPEVALSETUP.exe, BLACKD.exe, BLACKICE.exe, BOOTCONF.exe, BOOTWARN.exe, BORG2.exe, BRASIL.exe, BS120.exe, BUNDLE.exe.

C
CCAPP.exe, CCEVTMGR.exe, CCPXYSVC.exe, CFGWIZ.exe, CFIADMIN.exe, CFIAUDIT.exe, CFINET.exe, CFINET32.exe, CLEAN.exe, CLEANER.exe, CLEANER3.exe, CLEANPC.exe, CLICK.exe, CMD32.exe, CMESYS.exe, CMGRDIAN.exe, CMON016.exe, CONNECTIONMONITOR.exe, CPF9X206.exe, CPFNT206.exe, CTRL.exe, CWNB181.exe, CWNTDWMO.exe.

I
IFACE.exe, IFW2000.exe, INETLNFO.exe, INFUS.exe, INFWIN.exe, INIT.exe, INTDEL.exe, INTREN.exe, IOMON98.exe, ISTSVC.exe.

J
JAMMER.exe, JDBGMRG.exe, JEDI.exe.

K
KAVLITE40ENG.exe, KAVPERS40ENG.exe, KAVPF.exe, KEENVALUE.exe, KERNEL32.exe, KILLPROCESSSETUP161.exe.

L
LAUNCHER.exe, LDNETMON.exe, LDPRO.exe, LDPROMENU.exe, LDSCAN.exe, LNETINFO.exe, LOADER.exe, LOCALNET.exe, LOCKDOWN.exe, LOCKDOWN2000.exe, LOOKOUT.exe, LORDPE.exe, LSETUP.exe, LUALL.exe, LUAU.exe, LUCOMSERVER.exe, LUINIT.exe, LUSPT.exe.

M
MAPISVC32.exe, MCAGENT.exe, MCMNHDLR.exe, MCSHIELD.exe, MCTOOL.exe, MCUPDATE.exe, MCVSRTE.exe, MCVSSHLD.exe, MFIN32.exe, MFW2EN.exe, MFWENG3.exe, MGAVRTCL.exe, MGAVRTE.exe, MGHTML.exe, MGUI.exe, MINILOG.exe, MONITOR.exe, MOOLIVE.exe, MOSTAT.exe, MPFAGENT.exe, MPFSERVICE.exe, MPFTRAY.exe, MRFLUX.exe, MSAPP.exe, MSBB.exe, MSBLAST.exe, MSCACHE.exe, MSCCN32.exe, MSCMAN.exe, MSCONFIG.exe, MSDM.exe, MSDOS.exe, MSIEXEC16.exe, MSINFO32.exe, MSLAUGH.exe, MSMGT.exe, MSMSGRI32.exe, MSSMMC32.exe, MSSYS.exe, MSVXD.exe, MU0311AD.exe, MWATCH.exe.

N
N32SCANW.exe, NAVAP.exe, NAVAPSVC.exe, NAVAPSVC.exe, NAVAPW32.exe, NAVDX.exe, NAVLU32.exe, NAVNT.exe, NAVSTUB.exe, NAVW32.exe, NAVWNT.exe, NC2000.exe, NCINST4.exe, NDD32.exe, NEOMONITOR.exe, NEOWATCHLOG.exe, NETARMOR.exe, NETD32.exe, NETINFO.exe, NETMON.exe, NETSCANPRO.exe, NETSTAT.exe, NETUTILS.exe, NISSERV.exe, NISUM.exe, NMAIN.exe, NOD32.exe, NORMIST.exe, NORTON_INTERNET_SECU_3.exe, NOTSTART.exe, NPF40_TW_98_NT_ME_2K.exe, NPFMESSENGER.exe, NPROTECT.exe, NPSCHECK.exe, NPSSVC.exe, NSCHED32.exe, NSSYS32.exe, NSTASK32.exe, NSUPDATE.exe, NTRTSCAN.exe, NTVDM.exe, NTXconfig.exe, NUPGRADE.exe, NVARCH16.exe, NVC95.exe, NVSVC32.exe, NWINST4.exe, NWSERVICE.exe, NWTOOL16.exe.

O
OLLYDBG.exe, ONSRVR.exe, OPTIMIZE.exe, OSTRONET.exe, OTFIX.exe, OUTPOST.exe, OUTPOSTINSTALL.exe, OUTPOSTPROINSTALL.exe.

P
PADMIN.exe, PANIXK.exe, PATCH.exe, PAVCL.exe, PAVPROXY.exe, PAVSCHED.exe, PCFWALLICON.exe, PCIP10117_0.exe, PCSCAN.exe, PDSETUP.exe, PERISCOPE.exe, PERSFW.exe, PERSWF.exe, PFWADMIN.exe, PGMONITR.exe, PINGSCAN.exe, PLATIN.exe, POP3TRAP.exe, POPROXY.exe, POPSCAN.exe, PORTDETECTIVE.exe, PORTMONITOR.exe, POWERSCAN.exe, PPINUPDT.exe, PPTBC.exe, PPVSTOP.exe, PRIZESURFER.exe, PRMVR.exe, PROCDUMP.exe, PROCESSMONITOR.exe, PROCEXPLORERV1.exe, PROGRAMAUDITOR.exe, PROPORT.exe, PROTECTX.exe, PURGE.exe.

Q
QCONSOLE.exe, QSERVER.exe.

R
RAPAPP.exe, RAV7WIN.exe, RAV8WIN32ENG.exe, RCSYNC.exe, REALMON.exe, REGED.exe, REGEDIT.exe, REGEDT32.exe, RESCUE.exe, RESCUE32.exe, RRGUARD.exe, RSHELL.exe, RTVSCAN.exe, RTVSCN95.exe, RULAUNCH.exe, RUN32DLL.exe, RUNDLL.exe, RUNDLL16.exe, RUXDLL32.exe.

S
SAFEWEB.exe, SAHAGENT.exe, SAVENOW.exe, SBSERV.exe, SCAM32.exe, SCAN32.exe, SCAN95.exe, SCANPM.exe, SCRSCAN.exe, Setup.exe, SETUP_FLOWPROTECTOR_US.exe, SETUPVAMEEVAL.exe, SGSSFW32.exe, SHELLSPYINSTALL.exe, SHOWBEHIND.exe, SMSS32.exe, SPERM.exe, SPHINX.exe, SPOLER.exe, SPOOLCV.exe, SPOOLSV32.exe, SPYXX.exe, SREXE.exe, SS3EDIT.exe, SSG_4104.exe, SSGRATE.exe, START.exe, STCLOADER.exe, SUPFTRL.exe, SUPPORT.exe, SUPPORTER5.exe, SWEEP95.exe, SWEEPNET.exe, SWEEPSRV.exe, SWNETSUP.exe, SYMPROXYSVC.exe, SYMTRAY.exe, SYS.exe, SYSEDIT.exe, SYSTEM.exe, SYSTEM32.exe, SYSUPD.exe.

T
TASKMG.exe, TASKMO.exe, TASKMON.exe, TAUMON.exe, TBSCAN.exe, TEEKIDS.exe, TFAK5.exe, TGBOB.exe, TITANIN.exe, TITANINXP.exe, TRACERT.exe, TRICKLER.exe, TRJSCAN.exe, TRJSETUP.exe, TROJANTRAP3.exe, TSADBOT.exe, TVTMD.exe.

U
UNDOBOOT.exe, UPDAT.exe, UPDATE.exe, UPGRAD.exe, UTPOST.exe. Estos procesos pertenecen, entre otros, a diversas herramientas de seguridad, como por ejemplo programas antivirus y cortafuegos. Por el contrario, algunos de dichos procesos pertenecen a otro malware.

* Evita que el usuario pueda acceder a los siguientes sitios, pertenecientes mayoritariamente a compañías antivirus:

o http://msg.edit.yahoo.com/config/
o http://update.messenger.yahoo.com/msgrcli8.html
o login.oscar.aol.com
o relay.msg.yahoo.com
o scs.msg.yahoo.com
o shttp.msg.yahoo.com/notify/
o www.altavista.com
o www.altavista.us
o www.aria-security.net
o www.ashiyane.ir
o www.blogfa.com
o www.crouz.com
o www.dogpile.com
o www.forum.irvirus.com
o www.f-secure.com
o www.gmail.com
o www.google.com
o www.hauri.net
o www.hotmail.com
o www.imenantivirus.com
o www.iranvig.com
o www.kasperskylabs.ir
o www.liveupdate.symantec.com
o www.mail.yahoo.com
o www.mcafee.com
o www.microsoft.com
o www.msn.com
o www.nod32.com
o www.norman.com
o www.p30download.com
o www.p30warez.com
o www.p30world.com
o www.pandasecurity.com
o www.persianblog.com
o www.ravantivirus.com
o www.sav25.com
o www.sophos.com
o www.symantec.com
o www.virangar.net
o www.virangar.org
o www.virus.com
o www.viruslist.com
o www.xnxx.com
o www.xxl.com
o www.yahoo.com

* Consigue el control total del ordenador afectado. Para ello, realiza el siguiente proceso:

o Crea un usuario con permisos de administrador.
o Utiliza esta cuenta para acceder libremente al servicio Telnet. Este servicio es un protocolo que permite acceder mediante una red a otro ordenador para manejarlo como si se estuviera sentado delante de él.

* Deshabilita el Administrador de Tareas.
* Muestra el siguiente mensaje de error falso cuando se ejecuta:

Método de propagación
TelnetOn.A se propaga a través de los programas P2P eMule, KaZaA y Morpheus, del programa mIRC y de correo electrónico.

o Propagación a través de P2P

+ Crea copias de sí mismo en los directorios compartidos My shared Folder e Incoming de las unidades C:, D: y E: pertenecientes a los programas P2P eMule, KaZaA y Morpheus, y en un directorio común a todos los usuarios ubicado en C:\Documents and Settings\All Users\Documentos compartidos en Windows XP.
+ Utiliza los los siguientes nombres:
# EMINEM.EXE
# EVANESCENCE.EXE
# KEYGEN.EXE
# LINKIN PARK.EXE
# SEX.EXE
# THE PUSSYCAT DOLLS.EXE
+ Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por TelnetOn, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
+ Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por TelnetOn.
o Propagación mediante IRC

+ Envía una copia de sí mismo a través del protocolo DCC (Direct Client-to-Client) a los usuarios que estén conectados al programa mIRC.
+ Una vez enviada, a los usuarios se les muestra una ventana con el mensaje
+ Test My New Game
.
o Propagación por correo electrónico

+ Abre Outlook de manera oculta e intenta enviar un mensaje de correo electrónico a todos los contactos que encuentre en la Libreta de Direcciones.
+ El contenido del mensaje es el siguiente:

hi i send u this game , i hope u like it! u can also
vist my website for other games! www.cliper- bloqueado -com/game.html
by the way i put a lot of new sex video clips in website
www.cliper- bloqueado -com/sex.exe download free! u can find me
between them too!!!
visit my website net localgroup administrators

+ Además, este mensaje incluye un archivo adjunto que contiene una copia de sí mismo.

Otros detalles
Este gusano está escrito en el lenguaje de programación Visual Basic v6. Tiene un tamaño de 20085 Bytes cuando está comprimido mediante FSG y de 148600 Bytes una vez descomprimido.

SoloCodigo

Autor Tema: Telneton@p2p+mm (Leído 3846 veces)

RadicalEd

Telneton@p2p+mm