Timeserv

TIMESERV gusano/backdoor de Correo emplea ingeniería social desestabiliza el sistema ejecuta comandos remotos, etc.

W32/Timeserv@mm

Timeserv es un destructivo gusano/backdoor reportado el 09 de Junio del 2006, de alta propagación masiva a través de mensajes de correo con un Remitente, Asunto y Contenido que usando la denominada Ingeniería Social, simula ser enviado por el Soporte de Microsoft.

Actuando como Backdoor abre el puerto TCP 9999 desde el cual recibirá instrucciones del intruso.

Se conecta a un sub-dominio de un portal en Rusia, a donde el supuesto autor ingresará con un nombre de usuario y contraseña al sitio desde el cual podrá ejecutar acciones remotas.

El gusano inserta su código a los procesos svchost.exe y explorer.exe, haciendo que el sistema se vuelva inestable.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está escrito en MS Visual C++ con una extensión de 52KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

El gusano se envía a los buzones de correo de la Libreta de Direcciones de Windows (WAB) con las siguientes características:

Remitente: support@microsoft.com

Asunto: Microsoft Customer Support.

Contenido:

Hello Dear.

In programm maintenance of corporation Microsoft critical vulnerabilyty has been found in processing wmf files. Programmers Microsoft have let out critical updating for Windows 98/2000/XP. We urgently recommend you and to estabilish updating. One copy of updating packet in attach for this letter.
Detalis: http://support.microsoft.com

With best regards,
Microsoft Customer Support.

Adjunto: timesrv.exe

Al activarse el gusano se copia a la carpeta %System% con el nombre de timesrv.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"timesrv" = "%System%\timesrv.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

al siguiente inicio del equipo el gusano crea un servicio que se ejecuta cada vez que se inicie Windows en el caso que el gusano sea activado desde la cuenta del administrador:

Nombre Mostrado: Microsoft Time Server
Ruta de imagen: %System%\timesrv.exetob

luego inserta su código en los procesos svchost.exe y explorer.exe, haciendo que el sistema se cuelgue o re-inicie aleatoriamente, dejándolo totalmente inestable.

Actuando como Backdoor abre el puerto TCP 9999 desde el cual podrá descargar y ejecutar archivos con códigos malignos. Luego se conecta al siguiente sub-dominio de un portal ubicado en Rusia:

http://ad1.iframeuploads.org/

a donde el supuesto autor puede acceder con un nombre de usuario y contraseña para controlar los sistemas infectados en forma remota:

PER ANTIVIRUS® versión 9.7 con registro de virus al 09 de Junio del 2006 detecta y elimina eficientemente este gusano/backdoor.