Glupzy

GLUPZY troyano/backdoor de redes con recursos compartidos e IRC ejecuta su propio Telnet desestabiliza sistema.

Troj/Glupzy, Troj/Flushy

Glupzy es un destructivo troyano/backdoor reportado el 1o de Septiembre del 2006 que ingresa a los servidores con recursos compartidos, configurados con contraseñas débiles, a estaciones de trabajo o PC domésticas a través de diversos servicios de Internet, incluyendo su propio servidor Telnet.

Haciendo uso de la técnica de la fuerza bruta, con una extensa lista de cadenas de nombres de usuarios y contraseñas, el troyano cambia el password "Administrator" por el de "hacked" y una vez ingresado desestabiliza el sistema, convirtiéndolo en inestable e inseguro.

El troyano es ejecutado continuamente en segundo plano, lo cual permitirá que intrusos accedan al sistema a través de determinados canales de Chat. Ejecuta además su propio servidor Telnet que controlará los archivos BOT de esos canales del IRC (Internet Chat Relay)

Es un PE (Portable Ejecutable) infecta Windows 95/98/NT/2000/NT/Me/XP y Server 2003 ,desarrollado en Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser ejecutado se copia a la ruta %Startup% con los nombres:

%Startup%\systemID.pif
%Startup%\Flashy.exe

para ejecutarse la próxima vez que se re-inicie el sistema modifica la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Flashy Bot = "%System%\Flashy.exe"

%Startup% es una variable que corresponde a C:\Windows\Menú Inicio\Programas\Inicio en Windows 95/98/Me/XP y a C:\Documents and Settings\carpeta_del_usuario\Menú Inicio\Programas\Inicio en Windows NT\2000\XP.

Al siguiente inicio del equipo, el troyano configura la siguiente llave para deshabilitar la ejecución automática de otros programas:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess]
Start = 4

Deshabilitando el servicio de Acceso Compartido deshabilita la conexión del Firewall a Internet.

para deshabilitar la opción de acceso o creación de carpetas crea la sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions = 1

para esconder los archivos con el atributo "oculto" crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Hidden = 2

para ocultar los nombres de extensiones de archivos:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
HideFileExt = 1

Finalmente ejecuta su propio servidor Telnet para controlar en forma remota los sistemas afectados a través de determinados canales de Chat que cuentan con un archivo BOT.

PER ANTIVIRUS® versión 9.8 con registro de virus al 1o de Septiembre del 2006 detecta y elimina este troyano/backdoor.