|
Efectos:
Gaobot.S realiza las siguientes acciones: Finaliza procesos pertenecientes a programas antivirus, firewalls y herramientas de monitorización del sistema. Esto deja al ordenador afectado vulnerable frente al ataque de otros virus y gusanos. Para ver dichos procesos, pulse aquí. Finaliza los siguientes procesos, si se encuentran activos: dllhost.exe
msblast.exe
mspatch.exe
penis32.exe
scvhosl.exe
tftpd.exe
winhlpp32.exe
winppr32.exeEstos procesos pertenecen a Nachi.A, Autorooter.A, Sobig.F y varias variantes de Blaster.Roba el número de serie de los siguientes juegos, si se encuentran instalados en el ordenador afectado:
Battlefield 1942
Battlefield 1942 Secret Weapons of WWII
Battlefield 1942 The Road to Rome
Command & Conquer Generals
Counter-Strike
FIFA 2002
FIFA 2003
Half-Life
LoMaM
Nascar Racing 2002
Nascar Racing 2003
Need For Speed Hot Pursuit 2
Neverwinter
NHL 2002
NHL 2003
Project IGI 2
Rainbow Six III RavenShield
Red Alert
Red Alert 2
Soldier of Fortune II - Double Helix
The Gladiators
Tiberian Sun
Unreal Tournament 2003
Warcraft III
Westwood\Nox Se conecta al servidor de IRC sox.metadns.cx y espera órdenes.Provoca un aumento del tráfico de red por los puertos 135 y 445.
Como backdoor, realiza las siguientes acciones: Permite configurarse a sí mismo: verificar su estado, actualizarse, desinstalarse, etc. Obtiene información sobre el ordenador afectado: CPU, RAM, espacio en disco, sistema operativo, etc. Ejecuta ficheros a elección del hacker. Sube ficheros a través de HTTP y FTP. Ejecuta ficheros desde la Web o una dirección FTP. Actualiza el backdoor desde una dirección Web. Se conecta a páginas Web. Se conecta a canales IRC. Envía mensajes públicos y privados a través de IRC.
Metodo de infección:
Gaobot.S crea el fichero LSAS.EXE en el directorio de sistema de Windows. Este fichero contiene el código del gusano. Gaobot.S crea las siguientes entradas en el Registro de Windows: HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
"Windows Explorer" = LSAS.exe HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunServices
"Windows Explorer" = LSAS.exe
Con ello, consigue ejecutarse cada vez que se inicie Windows.
Metodo de propagación:
Gaobot.S se propaga a través de Internet y Redes. 1.- Propagación a través de Internet. Gaobot.S se propaga atacando direcciones IP, en las que trata de aprovechar las vulnerabilidades RPC DCOM y WebDAV. 2.- Propagación a través de Redes. Gaobot.S realiza el siguiente proceso: - Si el ordenador afectado forma parte de una red, Gaobot.S intenta acceder a los recursos compartidos. Para ello emplea nombres y contraseñas que son típicas o fáciles de adivinar.
- Para ver la lista de nombres, pulse aquí.
- Para ver la lista de contraseñas, pulse aquí. - Si consigue acceder, Gaobot.S realiza copias de sí mismo en dichos recursos compartidos.
Otros detalles:
Para que conozca un poco mejor a Gaobot.S, a continuación le presentamos alguna característica adicional: - Ha sido programado en el lenguaje de programación Visual C++ versión 6.
- El fichero que transporta el gusano tiene un tamaño de 204800 Bytes cuando se encuentra comprimido mediante UPX.
- Necesita la librería MSVCP60.DLL para ser ejecutado. En caso de que dicha librería no se encuentre presente en el ordenador afectado, no podrá ser ejecutado.
- Utiliza código OpenSSL para poder acceder a datos encriptados. OpenSSL es un proyecto de código abierto (Opensource) con licencia de tipo GPL.
|
