Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm-Backdoor.W32/Gaobot.S

Alias:
W32/Gaobot.S.worm (Panda Software)

Descripción:
Gaobot.S es un gusano con características de puerta trasera que afecta a ordenadores con sistemas operativos Windows XP/2000/NT. Gaobot.S aprovecha las vulnerabilidades RPC DCOM y WebDAV para propagarse al mayor número de ordenadores posible.

Gaobot.S también se propaga realizando copias de sí mismo en recursos compartidos de red, a los que logra acceso empleando contraseñas que son típicas o fáciles de adivinar.

Una vez ejecutado, Gaobot.S se conecta a un servidor IRC determinado por el puerto 6667 y espera órdenes de control. Por su características de puerta trasera, permite obtener información del ordenador afectado, ejecutar ficheros, realizar ataques de tipo de denegación de servicio distribuida (DDoS), subir ficheros por FTP, etc.

Gaobot.S finaliza procesos pertenecientes a programas antivirus, cortafuegos y herramientas de monitorización del sistema. Esto deja al ordenador afectado vulnerable frente al ataque de otros virus y gusanos. Además, finaliza los procesos correspondientes a los virus Nachi.A, Autorooter.A, Sobig.F y varias variantes de Blaster.

Si su ordenador tiene como sistema operativo Windows XP/2000/NT, es recomendable descargar el parche de seguridad para las vulnerabilidades RPC DCOM y WebDAV desde la página de Microsoft.


Detalles:

Efectos

Gaobot.S realiza las siguientes acciones:

Finaliza procesos con nombres citados a continuaciín, pertenecientes a programas antivirus, cortafuegos y herramientas de monitorización del sistema. Esto deja al ordenador afectado vulnerable frente al ataque de otros virus y gusanos.

AVP32.EXE, _AVPCC.EXE, _AVPM.EXE, ACKWIN32.EXE, ANTI-TROJAN.EXE, APVXDWIN.EXE, AUTODOWN.EXE, AVCONSOL.EXE, AVE32.EXE, AVGCTRL.EXE, AVKSERV.EXE, AVNT.EXE, AVP.EXE, AVP32.EXE, AVPCC.EXE, AVPDOS32.EXE, AVPM.EXE, AVPTC32.EXE, AVPUPD.EXE, AVSCHED32.EXE, AVWIN95.EXE, AVWUPD32.EXE, BLACKD.EXE, BLACKICE.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET32.EXE, CLAW95.EXE, CLAW95CF.EXE, CLEANER.EXE, CLEANER3.EXE, DVP95.EXE, DVP95_0.EXE, ECENGINE.EXE, ESAFE.EXE, ESPWATCH.EXE, F-AGNT95.EXE, FINDVIRU.EXE, FPROT.EXE, F-PROT.EXE, F-PROT95.EXE, FP-WIN.EXE, FRW.EXE, F-STOPW.EXE, IAMAPP.EXE, IAMSERV.EXE, IBMASN.EXE, IBMAVSP.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IFACE.EXE, IOMON98.EXE, JEDI.EXE, LOCKDOWN2000.EXE, LOOKOUT.EXE, LUALL.EXE, MOOLIVE.EXE, MPFTRAY.EXE, N32SCANW.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVNT.EXE, NAVW32.EXE, NAVWNT.EXE, NISUM.EXE, NMAIN.EXE, NORMIST.EXE, NUPGRADE.EXE, NVC95.EXE, OUTPOST.EXE, PADMIN.EXE, PAVCL.EXE, PAVSCHED.EXE, PAVW.EXE, PCCWIN98.EXE, PCFWALLICON.EXE, PERSFW.EXE, RAV7.EXE, RAV7WIN.EXE, RESCUE.EXE, SAFEWEB.EXE, SCAN32.EXE, SCAN95.EXE, SCANPM.EXE, SCRSCAN.EXE, SERV95.EXE, SMC.EXE, SPHINX.EXE, SWEEP95.EXE, TBSCAN.EXE, TCA.EXE, TDS2-98.EXE, TDS2-NT.EXE, VET95.EXE, VETTRAY.EXE, VSCAN40.EXE, VSECOMR.EXE, VSHWIN32.EXE, VSSTAT.EXE, WEBSCANX.EXE, WFINDV32.EXE, ZONEALARM.EXE

También finaliza los siguientes procesos, si se encuentran activos:

dllhost.exe, msblast.exe, mspatch.exe, penis32.exe, scvhosl.exe, tftpd.exe,winhlpp32.exe,winppr32.exe,

Estos procesos pertenecen a Nachi.A, Autorooter.A, Sobig.F y varias variantes de Blaster. Roba el número de serie de los siguientes juegos, si se encuentran instalados en el ordenador afectado:

  • Battlefield 1942
  • Battlefield 1942 Secret Weapons of WWII
  • Battlefield 1942 The Road to Rome
  • Command & Conquer Generals
  • Counter-Strike
  • FIFA 2002
  • FIFA 2003
  • Half-Life
  • LoMaM
  • Nascar Racing 2002
  • Nascar Racing 2003
  • Need For Speed Hot Pursuit 2
  • Neverwinter
  • NHL 2002
  • NHL 2003
  • Project IGI 2
  • Rainbow Six III RavenShield
  • Red Alert
  • Red Alert 2
  • Soldier of Fortune II - Double Helix
  • The Gladiators
  • Tiberian Sun
  • Unreal Tournament 2003
  • Warcraft III
  • Westwood\Nox

Se conecta al servidor de IRC sox.metadns.cx y espera órdenes. Provoca un aumento del tráfico de red por los puertos 135 y 445.

Como backdoor, realiza las siguientes acciones:

  • Permite configurarse a sí mismo: verificar su estado, actualizarse, desinstalarse, etc.
  • Obtiene información sobre el ordenador afectado: CPU, RAM, espacio en disco, sistema operativo, etc.
  • Realiza ataques de tipo de denegación de servicio distribuida (DDoS).
  • Ejecuta ficheros a elección del hacker.
  • Sube ficheros a través de HTTP y FTP.
  • Ejecuta ficheros desde la Web o una dirección FTP.
  • Actualiza el backdoor desde una dirección Web.
  • Se conecta a páginas Web.
  • Se conecta a canales IRC.
  • Envía mensajes públicos y privados a través de IRC.

Metodo de Infección

Gaobot.S crea el fichero LSAS.EXE en el directorio de sistema de Windows. Este fichero contiene el código del gusano.

Gaobot.S crea las siguientes entradas en el Registro de Windows:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Windows Explorer = LSAS.exe

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunServices
Windows Explorer = LSAS.exe

Con ello, consigue ejecutarse cada vez que se inicie Windows.

Método de Propagación

Gaobot.S se propaga a través de Internet y Redes.

1.- Propagación a través de Internet.

Gaobot.S se propaga atacando direcciones IP, en las que trata de aprovechar las vulnerabilidades RPC DCOM y WebDAV.

2.- Propagación a través de Redes.

Gaobot.S realiza el siguiente proceso:

Si el ordenador afectado forma parte de una red, Gaobot.S intenta acceder a los recursos compartidos. Para ello emplea nombres y contraseñas que son típicas o fáciles de adivinar (contraseñas débiles).

Si consigue acceder, Gaobot.S realiza copias de sí mismo en dichos recursos compartidos.

Otros Detalles

Ha sido programado en el lenguaje de programación Visual C++ versión 6.

El fichero que transporta el gusano tiene un tamaño de 204800 Bytes cuando se encuentra comprimido mediante UPX.

Necesita la librería MSVCP60.DLL para ser ejecutado. En caso de que dicha librería no se encuentre presente en el ordenador afectado, no podrá ser ejecutado.

Utiliza código OpenSSL para poder acceder a datos encriptados. OpenSSL es un proyecto de código abierto (Opensource) con licencia de tipo GPL.

Solución:

  • Uso de antivirus actualizado.

Más información acerca de este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados