Troj/Glupzy.B 

El gusano posee su propio servicio Telnet, lo cual lo hace gravemente peligroso. 

Haciendo uso de la técnica de la fuerza bruta, con una extensa lista de cadenas de nombres de usuarios y contraseñas, el troyano cambia el password "Administrator" por el de "hacked" y una vez ingresado puede controlar los sistemas infectados en forma remota.

El gusano es ejecutado contínuamente en segundo plano, lo que permitirá que intrusos accedan al sistema por medio de canales de Chat.

http://upx.sourceforge.net

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/NT/XP

Al siguiente inicio del equipo, configura la siguiente llave para deshabilitar el acceso compartido a otros programas:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess]
Start = 4

Con esta acción inhabilita la conexión del Firewall a Internet.

para deshabilitar la opción de acceso o creación de carpetas modifica la sub-llave: 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions" = "1"

para esconder los archivos con el atributo de "oculto" modifica la sub-llave: 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"

para ocultar los nombres de extensiones de archivos: 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "1"

Para deshabilitar el Editor de Registros modifica la sub- llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"

Para deshabilitar otros servicios y funciones del sistema el gusano crea su propia llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegitdHyTools" = "1"

Al siguiente inicio del equipo, ejecuta su propio "Telnet" empleando como usuario el nombre de "AdminitdHator" y cambiando la contraseña de Administrador a "hacked". Utiliza también la técnica de la fuerza bruta, con una extensa lista de cadenas de nombres de usuarios y contraseñas y de lograr ingresar a un sistema ejercerá un control absoluto, sobre el mismo en forma remota. (leer NOTA) 

Luego el gusano se copia a la raíz de las siguientes unidades de disco, en caso existir:

d:\Flashy.exe 
e:\Flashy.exe 
f:\Flashy.exe 
h:\Flashy.exe 
i:\Flashy.exe 
j:\Flashy.exe

incluyendo a todas las unidades removibles y dispositivos USB disponibles.

Sus llaves de registro realizan alteraciones en el sistema y deshabilitan funciones, pudiendo ser necesario re-instalar el sistema operativo.

NOTA: Telnet es un protocolo que permite acceder desde un equipo hacia cualquier sistema, desde un equipo remoto al cual se logre ingresar empleando un servicio de Internet o hasta una vulnerabilidad. El puerto TCP usado por defecto es el 23, pero puede aprovecharse cualquiera, incluso vulnerabilidades o exploits de sistemas o aplicaciones.

Con propósitos educativos mostramos la forma simple de ejecutar comandos básicos de Telnet desde una PC, sin brindar mayores detalles.

En este caso, de lograr ingresar la IP del intruso será identificada a menos que emplee otros recursos que por razones obvias no mencionaremos. 

Incluso existen herramientas gratuitas que se distribuyen en sitios web:

PER ANTIVIRUS® versión 10.1 con registro de virus al 24 de Junio del 2007 detecta y elimina este troyano/backdoor.