Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm-Backdoor.W32/Gaobot.CA@RPC

Alias:
W32.HLLW.Gaobot.CA (Symantec)

Descripción:
Gusano con funcionalidad de puerta trasera que intenta difundirse mediante recursos de red compartidos con contraseñas débiles, y aprovechano varias vulnerabilidades de RPC de Windows. Permite a un usuario no autorizado controlar el ordenador infectado mediante IRC.

Intenta terminar procesos de antivirus y cortafuegos y de otros conocidos gusanos.

Detalles:
Este gusano se aprovecha de las siguientes vulnerabilidades:

  • RPC DCOM (MS03-026), usando el puerto TCP 135
  • localizador de RPC (MS03-001), usando el puerto TCP 445
  • WebDav (MS03-007), usando el puerto TCP 80
Cuando es ejecutado, hace lo siguiente:

  1. Se copia como %System%\wstart32.exe.

  2. Añade el valor:

    "Windows Loader"="wstart32.exe"

    a las claves del registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

    para ejecutarse cuando se inicia Windows

  3. Crea la siguiente entrada en el registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nm
    "Configuration Loader" = "%System%\wstart32.exe" -service

    De forma que arranca como un servicio cuando Windows se inicia.

  4. Se conecta a una canal IRC predefinido, usando su propio cliente IRC, y espera comandos de su dueño.

  5. Permite a su dueño controlar el ordenador infectado, donde puede realizar acciones cómo:

    • Administrar la instalación del gusano.
    • Actualizar dinámicamente la instalación del gusano.
    • Descargar y ejecutar ficheros
    • Robar información del sistema
    • Enviarse a otros usuarios de IRC.
    • Añadir nuevas cuentas.

  6. Planifica una tarea remotamente para ejecutar el gusano en un ordenar nuevamente infectado.

  7. Genera una dirección IP aleatorio y realiza un ataque de denegación de servicio (Denial of Service, DoS)

  8. Actúa como servidor proxy para dirigir ataques contra otras máquinas.

  9. Envía datos al puerto TCP 135, intentando explotar la vulnerabilidad DCOM RPC, o al puerto 445 para explotra la del localizador RPC.

  10. Sondea los siguientes recursos compartidos:

    • admin$
    • c$
    • d$
    • e$
    • print$

    usando los siguientes nombres y contraseñas, así como los nombres de usuario devueltos por NetUserEnum():

    Nombres de usuario:
    • Administrator
    • Administrateur
    • Coordinatore
    • Administrador
    • Verwalter
    • Ospite
    • admin
    • administrator
    • Default
    • Convidado
    • mgmt
    • Standard
    • User
    • Administrador
    • Owner
    • Test
    • Guest
    • Gast
    • Inviter
    • a
    • aaa
    • abc
    • x
    • xyz
    • Dell
    • home
    • pc
    • test
    • temp
    • win
    • asdf
    • qwer
    • login

    Contraseñas:
    • admin
    • Admin
    • password
    • Password
    • 1
    • 12
    • 123
    • 1234
    • 12345
    • 123456
    • 1234567
    • 12345678
    • 12456789
    • 654321
    • 54321
    • 111
    • 000000
    • 00000000
    • 11111111
    • 88888888
    • pass
    • passwd
    • database
    • abcd
    • oracle
    • sybase
    • 123qwe
    • server
    • computer
    • Internet
    • super
    • 123asd
    • ihavenopass
    • godblessyou
    • enable
    • xp
    • 2002
    • 2003
    • 2600
    • 110
    • 111111
    • 121212
    • 123123
    • 1234qwer
    • 123abc
    • 007
    • alpha
    • patrick
    • pat
    • administrator
    • root
    • sex
    • god
    • foobar
    • a
    • aaa
    • abc
    • test
    • temp
    • win
    • pc
    • asdf
    • secret
    • qwer
    • yxcv
    • zxcv
    • home
    • xxx
    • owner
    • login
    • Login
    • pwd
    • pass
    • love
    • mypc
    • mypass
    • pw

  11. Se copia en cualquier sistema en que consigue acceso con alguno de estos mecanismos.

  12. Roba la clave del CD de los siguientes juegos:

    • Soldier of Fortune II - Double Helix
    • Neverwinter
    • Westwood\Nox
    • Tiberian Sun
    • Red Alert 2
    • Red Alert
    • Project IGI 2
    • Command & Conquer Generals
    • Battlefield 1942 Secret Weapons of WWII
    • Battlefield 1942 The Road to Rome
    • Battlefield 1942
    • Rainbow Six III RavenShield
    • Nascar Racing 2003
    • Nascar Racing 2002
    • NHL 2003
    • NHL 2002
    • FIFA 2003
    • FIFA 2002
    • Need For Speed Hot Pursuit 2
    • The Gladiators
    • Unreal Tournament 2003
    • Legends of Might and Magic
    • Counter-Strike
    • Half-Life

  13. Termina los siguientes procesos, asociados con programas antivirus y cortafuegos:

    • ESAFE.EXE
    • ECENGINE.EXE
    • DVP95_0.EXE
    • DVP95.EXE
    • CLEANER3.EXE
    • CLEANER.EXE
    • CLAW95CF.EXE
    • CLAW95.EXE
    • CFINET32.EXE
    • CFINET.EXE
    • CFIAUDIT.EXE
    • CFIADMIN.EXE
    • BLACKICE.EXE
    • BLACKD.EXE
    • AVWUPD32.EXE
    • AVWIN95.EXE
    • AVSCHED32.EXE
    • AVPUPD.EXE
    • AVPTC32.EXE
    • AVPM.EXE
    • AVPDOS32.EXE
    • AVPCC.EXE
    • AVP32.EXE
    • AVP.EXE
    • AVNT.EXE
    • AVKSERV.EXE
    • AVGCTRL.EXE
    • AVE32.EXE
    • AVCONSOL.EXE
    • AUTODOWN.EXE
    • APVXDWIN.EXE
    • ANTI-TROJAN.EXE
    • ACKWIN32.EXE
    • _AVPM.EXE
    • _AVPCC.EXE
    • _AVP32.EXE

  14. Intenta terminar alguno de los siguientes procesos, asociados con otros gusanos:

    • dllhost.exe
    • mspatch.exe
    • tftpd.exe
    • winhlpp32.exe
    • winppr32.exe

  15. Abre puertos aleatorios, entre el 1000 y el 3000, y por encima de 10000, y espera que otros ordenadores descarguen el gusano.

Solución:

  • Uso de antivirus actualizado.

Más información acerca de este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados