TelnetOn.A
PeligrosidadDañoPropagación

Efectos 

TelnetOn.A realiza las siguientes acciones:

• Finaliza los siguientes procesos, si se encuentran activos en memoria:
  A
  ACKWIN32.exe, ADAWARE.exe, ADVXDWIN.exe , AGENTSVR.exe, AGENTW.exe, ALERTSVC.exe, ALEVIR.exe, ALOGSERV.exe, AMON9X.exe, ANTIVIRUS.exe, ANTS.exe, APIMONITOR.exe, APLICA32.exe, APVXDWIN.exe, ATCON.exe, ATRO55EN.exe, ATUPDATER.exe, ATWATCH.exe, AUPDATE.exe, AUTODOWN.exe, AUTOTRACE.exe, AUTOUPDATE.exe, AVCONSOL.exe, AVE32.exe, AVGCC32.exe, AVGCTRL.exe, AVGNT.exe, AVGSERV.exe, AVGSERV9.exe, AVGW.exe, AVKPOP.exe, AVKSERV.exe, AVKSERVICE.exe, AVKWCTl9.exe, AVLTMAIN.exe, AVNT.exe, AVP32.exe, AVPCC.exe, AVPDOS32.exe, AVPM.exe, AVPTC32.exe, AVPUPD.exe, AVSCHED32.exe, AVSYNMGR.exe, AVWINNT.exe, AVWUPD.exe, AVWUPD32.exe, AVWUPSRV.exe, AVXMONITOR9X.exe, AVXMONITORNT.exe, AVXQUAR.exe.
  
  B
  BACKWEB.exe, BARGAINS.exe, BD_PROFESSIONAL.exe, BEAGLE.exe, BELT.exe, BIDEF.exe, BIDSERVER.exe, BIPCP.exe, BIPCPEVALSETUP.exe, BLACKD.exe, BLACKICE.exe, BOOTCONF.exe, BOOTWARN.exe, BORG2.exe, BRASIL.exe, BS120.exe, BUNDLE.exe.
  
  C
  CCAPP.exe, CCEVTMGR.exe, CCPXYSVC.exe, CFGWIZ.exe, CFIADMIN.exe, CFIAUDIT.exe, CFINET.exe, CFINET32.exe, CLEAN.exe, CLEANER.exe, CLEANER3.exe, CLEANPC.exe, CLICK.exe, CMD32.exe, CMESYS.exe, CMGRDIAN.exe, CMON016.exe, CONNECTIONMONITOR.exe, CPF9X206.exe, CPFNT206.exe, CTRL.exe, CWNB181.exe, CWNTDWMO.exe.
  
  I
  IFACE.exe, IFW2000.exe, INETLNFO.exe, INFUS.exe, INFWIN.exe, INIT.exe, INTDEL.exe, INTREN.exe, IOMON98.exe, ISTSVC.exe.
  
  J
  JAMMER.exe, JDBGMRG.exe, JEDI.exe.
  
  K
  KAVLITE40ENG.exe, KAVPERS40ENG.exe, KAVPF.exe, KEENVALUE.exe, KERNEL32.exe, KILLPROCESSSETUP161.exe.
  
  L
  LAUNCHER.exe, LDNETMON.exe, LDPRO.exe, LDPROMENU.exe, LDSCAN.exe, LNETINFO.exe, LOADER.exe, LOCALNET.exe, LOCKDOWN.exe, LOCKDOWN2000.exe, LOOKOUT.exe, LORDPE.exe, LSETUP.exe, LUALL.exe, LUAU.exe, LUCOMSERVER.exe, LUINIT.exe, LUSPT.exe.
  
  M
  MAPISVC32.exe, MCAGENT.exe, MCMNHDLR.exe, MCSHIELD.exe, MCTOOL.exe, MCUPDATE.exe, MCVSRTE.exe, MCVSSHLD.exe, MFIN32.exe, MFW2EN.exe, MFWENG3.exe, MGAVRTCL.exe, MGAVRTE.exe, MGHTML.exe, MGUI.exe, MINILOG.exe, MONITOR.exe, MOOLIVE.exe, MOSTAT.exe, MPFAGENT.exe, MPFSERVICE.exe, MPFTRAY.exe, MRFLUX.exe, MSAPP.exe, MSBB.exe, MSBLAST.exe, MSCACHE.exe, MSCCN32.exe, MSCMAN.exe, MSCONFIG.exe, MSDM.exe, MSDOS.exe, MSIEXEC16.exe, MSINFO32.exe, MSLAUGH.exe, MSMGT.exe, MSMSGRI32.exe, MSSMMC32.exe, MSSYS.exe, MSVXD.exe, MU0311AD.exe, MWATCH.exe.
  
  N
  N32SCANW.exe, NAVAP.exe, NAVAPSVC.exe, NAVAPSVC.exe, NAVAPW32.exe, NAVDX.exe, NAVLU32.exe, NAVNT.exe, NAVSTUB.exe, NAVW32.exe, NAVWNT.exe, NC2000.exe, NCINST4.exe, NDD32.exe, NEOMONITOR.exe, NEOWATCHLOG.exe, NETARMOR.exe, NETD32.exe, NETINFO.exe, NETMON.exe, NETSCANPRO.exe, NETSTAT.exe, NETUTILS.exe, NISSERV.exe, NISUM.exe, NMAIN.exe, NOD32.exe, NORMIST.exe, NORTON_INTERNET_SECU_3.exe, NOTSTART.exe, NPF40_TW_98_NT_ME_2K.exe, NPFMESSENGER.exe, NPROTECT.exe, NPSCHECK.exe, NPSSVC.exe, NSCHED32.exe, NSSYS32.exe, NSTASK32.exe, NSUPDATE.exe, NTRTSCAN.exe, NTVDM.exe, NTXconfig.exe, NUPGRADE.exe, NVARCH16.exe, NVC95.exe, NVSVC32.exe, NWINST4.exe, NWSERVICE.exe, NWTOOL16.exe.
  
  O
  OLLYDBG.exe, ONSRVR.exe, OPTIMIZE.exe, OSTRONET.exe, OTFIX.exe, OUTPOST.exe, OUTPOSTINSTALL.exe, OUTPOSTPROINSTALL.exe.
  
  P
  PADMIN.exe, PANIXK.exe, PATCH.exe, PAVCL.exe, PAVPROXY.exe, PAVSCHED.exe, PCFWALLICON.exe, PCIP10117_0.exe, PCSCAN.exe, PDSETUP.exe, PERISCOPE.exe, PERSFW.exe, PERSWF.exe, PFWADMIN.exe, PGMONITR.exe, PINGSCAN.exe, PLATIN.exe, POP3TRAP.exe, POPROXY.exe, POPSCAN.exe, PORTDETECTIVE.exe, PORTMONITOR.exe, POWERSCAN.exe, PPINUPDT.exe, PPTBC.exe, PPVSTOP.exe, PRIZESURFER.exe, PRMVR.exe, PROCDUMP.exe, PROCESSMONITOR.exe, PROCEXPLORERV1.exe, PROGRAMAUDITOR.exe, PROPORT.exe, PROTECTX.exe, PURGE.exe.
  
  Q
  QCONSOLE.exe, QSERVER.exe.
  
  R
  RAPAPP.exe, RAV7WIN.exe, RAV8WIN32ENG.exe, RCSYNC.exe, REALMON.exe, REGED.exe, REGEDIT.exe, REGEDT32.exe, RESCUE.exe, RESCUE32.exe, RRGUARD.exe, RSHELL.exe, RTVSCAN.exe, RTVSCN95.exe, RULAUNCH.exe, RUN32DLL.exe, RUNDLL.exe, RUNDLL16.exe, RUXDLL32.exe.
  
  S
  SAFEWEB.exe, SAHAGENT.exe, SAVENOW.exe, SBSERV.exe, SCAM32.exe, SCAN32.exe, SCAN95.exe, SCANPM.exe, SCRSCAN.exe, Setup.exe, SETUP_FLOWPROTECTOR_US.exe, SETUPVAMEEVAL.exe, SGSSFW32.exe, SHELLSPYINSTALL.exe, SHOWBEHIND.exe, SMSS32.exe, SPERM.exe, SPHINX.exe, SPOLER.exe, SPOOLCV.exe, SPOOLSV32.exe, SPYXX.exe, SREXE.exe, SS3EDIT.exe, SSG_4104.exe, SSGRATE.exe, START.exe, STCLOADER.exe, SUPFTRL.exe, SUPPORT.exe, SUPPORTER5.exe, SWEEP95.exe, SWEEPNET.exe, SWEEPSRV.exe, SWNETSUP.exe, SYMPROXYSVC.exe, SYMTRAY.exe, SYS.exe, SYSEDIT.exe, SYSTEM.exe, SYSTEM32.exe, SYSUPD.exe.
  
  T
  TASKMG.exe, TASKMO.exe, TASKMON.exe, TAUMON.exe, TBSCAN.exe, TEEKIDS.exe, TFAK5.exe, TGBOB.exe, TITANIN.exe, TITANINXP.exe, TRACERT.exe, TRICKLER.exe, TRJSCAN.exe, TRJSETUP.exe, TROJANTRAP3.exe, TSADBOT.exe, TVTMD.exe.
  
  U
  UNDOBOOT.exe, UPDAT.exe, UPDATE.exe, UPGRAD.exe, UTPOST.exe.
  Estos procesos pertenecen, entre otros, a diversas herramientas de seguridad, como por ejemplo programas antivirus y cortafuegos. Por el contrario, algunos de dichos procesos pertenecen a otro malware.
• Evita que el usuario pueda acceder a los siguientes sitios, pertenecientes mayoritariamente a compañías antivirus:
  http://msg.edit.yahoo.com/config/
  http://update.messenger.yahoo.com/msgrcli8.html
  login.oscar.aol.com
  relay.msg.yahoo.com
  scs.msg.yahoo.com
  shttp.msg.yahoo.com/notify/
  www.altavista.com
  www.altavista.us
  www.aria-security.net
  www.ashiyane.ir
  www.blogfa.com
  www.crouz.com
  www.dogpile.com
  www.forum.irvirus.com
  www.f-secure.com
  www.gmail.com
  www.google.com
  www.hauri.net
  www.hotmail.com
  www.imenantivirus.com
  www.iranvig.com
  www.kasperskylabs.ir
  www.liveupdate.symantec.com
  www.mail.yahoo.com
  www.mcafee.com
  www.microsoft.com
  www.msn.com
  www.nod32.com
  www.norman.com
  www.p30download.com
  www.p30warez.com
  www.p30world.com
  www.pandasecurity.com
  www.persianblog.com
  www.ravantivirus.com
  www.sav25.com
  www.sophos.com
  www.symantec.com
  www.virangar.net
  www.virangar.org
  www.virus.com
  www.viruslist.com
  www.xnxx.com
  www.xxl.com
  www.yahoo.com
• Consigue el control total del ordenador afectado. Para ello, realiza el siguiente proceso:
  - Crea un usuario con permisos de administrador.
  - Utiliza esta cuenta para acceder libremente al servicio Telnet. Este servicio es un protocolo que permite acceder mediante una red a otro ordenador para manejarlo como si se estuviera sentado delante de él.
• Deshabilita el Administrador de Tareas.
• Muestra el siguiente mensaje de error falso cuando se ejecuta:
  
  

Metodo de Infección 

TelnetOn.A crea los siguientes archivos, que son copias de sí mismo:

• TD.EXE, en el directorio raíz de la unidad C:.
• SVHOST.EXE, en la subcarpeta SYSTEM del directorio de Windows.
• CPXP.EXE, en el directorio de Inicio de las unidades C:, D: y E:, si las hubiera.
• CONVERTPATCH-KB5647731.EXE, en la subcarpeta MIRC del directorio Archivos de Programa, si este programa estuviera instalado.
• CONVERTPATCH-KB5645665.EXE, en la unidad A:.

TelnetOn.A crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ MICROSOFT\ WINDOWS\ CurrentVersion\ RUN
  svhost.exe
  Mediante esta entrada, TelnetOn.A consigue ejecutarse cada vez que Windows se inicia.
• HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ Terminal Server\ fDenyTSConnections
• HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ Terminal Server\ fAllowToGetHelp
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ TelnetServer\ 1.0\ NTML
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ TelnetServer\ 1.0\ TelnetPort
• HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ TlntSvr\ ErrorControl
• HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ TlntSvr\ Start
• HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ TlntSvr\ Type
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System\ DisableTaskMgr
• HKEY_CURRENT_USER\ Software\ yahoo\ pager\ profiles\ Custom Msgs
  www.cliper<bloqueado>.com/game.html
• HKEY_CURRENT_USER\ Software\ America Online\ AOL Instant Messenger (TM)\ CurrentVersion\ Server\ DefaultHost
• HKEY_CURRENT_USER\ Software\ America Online\ AOL Instant Messenger (TM)\ CurrentVersion\ Server\ Host

Método de Propagación 

TelnetOn.A se propaga a través de programas de intercambio de archivos punto a punto (P2P), a través de IRC y correo electrónico.

1.- Propagación a través de programas P2P.

• Crea copias de sí mismo en los directorios compartidos My shared Folder e Incoming de las unidades C:, D: y E: pertenecientes a los programas P2P eMule, KaZaA y Morpheus, y en un directorio común a todos los usuarios ubicado en C:\Documents and Settings\All Users\Documentos compartidos en Windows XP.
• Utiliza los los siguientes nombres:
  EMINEM.EXE
  EVANESCENCE.EXE
  KEYGEN.EXE
  LINKIN PARK.EXE
  SEX.EXE
  THE PUSSYCAT DOLLS.EXE
• Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por TelnetOn.A, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
• Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por TelnetOn.A.

2.- Propagación mediante IRC.

• Envía una copia de sí mismo a través del protocolo DCC (Direct Client-to-Client) a los usuarios que estén conectados al programa mIRC.
• Una vez enviada, a los usuarios se les muestra una ventana con el mensaje Test My New Game.

3.- Propagación por correo electrónico.

• TelnetOn.A abre Outlook de manera oculta e intenta enviar un mensaje de correo electrónico a todos los contactos que encuentre en la Libreta de Direcciones.
• El contenido del mensaje es el siguiente:
  hi i send u this game , i hope u like it! u can also vist my website for other games! www.cliper<bloqueado>com/game.html by the way i put a lot of new sex video clips in website www.cliper<bloqueado>com/sex.exe download free! u can find me between them too!!! visit my website
  net localgroup administrators
• Además, este mensaje incluye un archivo adjunto que contiene una copia de sí mismo.

Otros Detalles  

TelnetOn.A está escrito en el lenguaje de programación Visual Basic v6. Este gusano tiene un tamaño de 20085 Bytes cuando está comprimido mediante FSG y de 148600 Bytes una vez descomprimido.