|
Efectos:
Gaodrop.A realiza las siguientes acciones: - Descarga malware en el ordenador afectado de las siguientes páginas web:
www.min<bloqueado>ova.org
hostin<bloqueado>001.isp.be
ns2.sta<bloqueado>ind.com, que redirige a la página web users.skynet<bloqueado>295/hifi - Instala el siguiente malware en el ordenador afectado:
Adware/CommAd
Adware/PurityScan
Adware/SearchAid
Adware/YazzleSudoku
Adware/Deskwizz
Adware/Exact.BargainBuddy
Adware/ISearch
Adware/Look2Me
Adware/Maxifiles
Adware/Sqwire
Adware/WebHancer
Bck/IRCBot.WJ - Suelta el gusano detectado como Gaobot.MFM en el ordenador afectado.
- Evita que los usuarios ejecuten los siguientes archivos de Windows:
CMD.EXE
NETSTAT.EXE
PING.EXE
REGEDIT.EXE
TASKKILL.EXE
TASKLIST.EXE
TRACERT.EXE
Metodo de infección:
Gaodrop.A crea los siguientes archivos: - OUTLOOK.EXE y V.TMP en la subcarpeta OUTLOOK del directorio Archivos de Programa. Estos archivos son copias del troyano.
- P.ZIP en la subcarpeta OUTLOOK del directorio Archivos de Programa. Este archivo es una copia del troyano comprimido en formato ZIP.
- BSZIP.DLL en el directorio de sistema de Windows. Este archivo es una DLL utilizada para comprimir a Gaodrop.A en formato ZIP.
- WINLOG.EXE en el directorio de sistema de Windows. Este archivo pertenece a Gaobot.MFM.
Además, Gaodrop.A crea los siguientes archivos en el directorio de sistema de Windows: - CMD.COM
- NETSTAT.COM
- PING.COM
- REGEDIT.COM
- TASKKILL.COM
- TASKLIST.COM
- TRACERT.COM
Mediante estos archivos, Gaodrop.A evita que los usuarios puedan ejecutar los archivos originales de Windows, que tienen el mismo nombre pero extensión EXE.
Cuando se intenta ejecutar un archivo, indicando sólo su nombre, el sistema operativo buscará archivos con el mismo nombre y extensión COM. Si no los encuentra, buscará archivos cn el mismo nombre y extensión EXE, y si no los encuentra, finalmente buscará archivos con el mismo nombre y extensión BAT.
Los archivos creados por Gaodrop.A, que tienen un tamaño de 0 Bytes, tienen extensión COM. De esta manera, si los usuarios intentan ejecutar alguno de ellos indicando únicamente su nombre de archivo, Windows ejecutará los archivos con extensión COM, provocando un error.
Por ejemplo, si su ordenador está afectado por Gaodrop.A, e intenta ejecutar el Editor del Registro de Windows escribiendo REGEDIT en la opción Ejecutar... del menú Inicio, el sistema operativo intentará en primer lugar ejecutar REGEDIT.COM. Como Gaodrop.A ha creado dicho archivo, pero está vacío, no podrá ejecutarlo a menos que escriba REGEDIT.EXE.
Gaodrop.A crea las siguientes entradas en el Registro de Windows: - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
outlook = C:\Program Files\outlook\outlook.exe /auto - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
winlog = winlog.exe - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices winlog = winlog.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante estas entradas, Gaodrop.A consigue ejecutarse cada vez que Windows se inicia. - HKEY_CURRENT_USER\ Software\ Microsoft\ OLE
winlog = winlog.exe
Metodo de propagación:
Gaodrop.A no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc. Otros detalles:
Gaodrop.A está escrito en el lenguaje de programación Visual Basic v5. Este troyano tiene un tamaño de 210432 Bytes, y está comprimido mediante UPX. |
