Descripción completa

Nombre:	Worm/Gobot.S
Descubierto:	22/11/2005
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio-alto
Potencial dañino:	Medio
Fichero estático:	No
Tamaño:	~41.200 Bytes
Versión del VDF:	6.26.00.56

General Métodos de propagación:
   • Red local
   • Peer to Peer

Alias:
   • Kaspersky: Backdoor.Win32.Gobot.s
   • TrendMicro: WORM_GOBOT.S
   • F-Secure: W32/Agobot.AVU
   • Sophos: W32/Gobot-C
   • Bitdefender: Backdoor.Gabot.A

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %WINDIR%\%serie de caracteres aleatorios%.exe

Crea el siguiente fichero:

– %WINDIR%\setup.txt En este fichero se registran las pulsaciones de teclado.

Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • AVPCC = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NPROTECT = %WINDIR%\%serie de caracteres aleatorios%.exe
   • SMC = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NETUTILS = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NTXCONFIG = %WINDIR%\%serie de caracteres aleatorios%.exe
   • LDNETMON = %WINDIR%\%serie de caracteres aleatorios%.exe
   • CONNECTIONMONITOR = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NVSVC32 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • AVSYNMGR = %WINDIR%\%serie de caracteres aleatorios%.exe
   • ERICS = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NAVENGNAVEX15 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NAV AUTO-PROTECT = %WINDIR%\%serie de caracteres aleatorios%.exe
   • CPDCLNT = %WINDIR%\%serie de caracteres aleatorios%.exe
   • MPFSERVICE = %WINDIR%\%serie de caracteres aleatorios%.exe
   • MPFTRAY = %WINDIR%\%serie de caracteres aleatorios%.exe
   • PORTMONITOR = %WINDIR%\%serie de caracteres aleatorios%.exe
   • CPDCLNT = %WINDIR%\%serie de caracteres aleatorios%.exe
   • VSHWIN32 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • VSECOMR = %WINDIR%\%serie de caracteres aleatorios%.exe
   • WEBSCANX = %WINDIR%\%serie de caracteres aleatorios%.exe
   • TCMON = %WINDIR%\%serie de caracteres aleatorios%.exe
   • ALOGSERV = %WINDIR%\%serie de caracteres aleatorios%.exe
   • CMGRDIAN = %WINDIR%\%serie de caracteres aleatorios%.exe
   • RULAUNCH = %WINDIR%\%serie de caracteres aleatorios%.exe
   • DVP95 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • PROCESSMONITOR = %WINDIR%\%serie de caracteres aleatorios%.exe
   • FRW = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NAVAP = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NAVAPW32 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • DEFWATCH = %WINDIR%\%serie de caracteres aleatorios%.exe
   • GENERICS = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NAVAPSVC = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NTVDM = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NAVWNT = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NAVLU32 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • LUALL = %WINDIR%\%serie de caracteres aleatorios%.exe
   • SWNETSUP = %WINDIR%\%serie de caracteres aleatorios%.exe
   • ICLOAD95 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • TDS-3 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • ICMON = %WINDIR%\%serie de caracteres aleatorios%.exe
   • ICSUPP95 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • IFACE = %WINDIR%\%serie de caracteres aleatorios%.exe
   • ADVXDWIN = %WINDIR%\%serie de caracteres aleatorios%.exe
   • PADMIN = %WINDIR%\%serie de caracteres aleatorios%.exe
   • RAV7WIN = %WINDIR%\%serie de caracteres aleatorios%.exe
   • WATCHDOG = %WINDIR%\%serie de caracteres aleatorios%.exe
   • MINILOG = %WINDIR%\%serie de caracteres aleatorios%.exe
   • P-WIN = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NDD32 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • FNRB32 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NMAIN = %WINDIR%\%serie de caracteres aleatorios%.exe
   • IAMSERV = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NPSCHECK = %WINDIR%\%serie de caracteres aleatorios%.exe
   • AGENTW = %WINDIR%\%serie de caracteres aleatorios%.exe
   • PERSFW = %WINDIR%\%serie de caracteres aleatorios%.exe
   • PERSWF = %WINDIR%\%serie de caracteres aleatorios%.exe
   • LOCKDOWN = %WINDIR%\%serie de caracteres aleatorios%.exe
   • SPYXX = %WINDIR%\%serie de caracteres aleatorios%.exe
   • WEBTRAP = %WINDIR%\%serie de caracteres aleatorios%.exe
   • ATCON = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NPROTECT = %WINDIR%\%serie de caracteres aleatorios%.exe
   • WGFE95 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • ZONEALARM = %WINDIR%\%serie de caracteres aleatorios%.exe
   • VSMON = %WINDIR%\%serie de caracteres aleatorios%.exe
   • AVKSERV = %WINDIR%\%serie de caracteres aleatorios%.exe
   • MPFAGENT = %WINDIR%\%serie de caracteres aleatorios%.exe
   • MPFSERVICE = %WINDIR%\%serie de caracteres aleatorios%.exe
   • MPFTRAY = %WINDIR%\%serie de caracteres aleatorios%.exe
   • PORTMONITOR = %WINDIR%\%serie de caracteres aleatorios%.exe
   • VSHWIN32 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • WEBSCANX = %WINDIR%\%serie de caracteres aleatorios%.exe
   • VSSTAT = %WINDIR%\%serie de caracteres aleatorios%.exe
   • PCCWIN98 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • ATUPDATE = %WINDIR%\%serie de caracteres aleatorios%.exe
   • AVCONSOL = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NSCHED32 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • KAVDOS32 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • ESPWATCH = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NEOWATCHLOG = %WINDIR%\%serie de caracteres aleatorios%.exe
   • AUTOTRACE = %WINDIR%\%serie de caracteres aleatorios%.exe
   • AUTODOWN = %WINDIR%\%serie de caracteres aleatorios%.exe
   • VETTRAY = %WINDIR%\%serie de caracteres aleatorios%.exe
   • SAFEWEB = %WINDIR%\%serie de caracteres aleatorios%.exe
   • VSCAN40 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • CFIADMIN = %WINDIR%\%serie de caracteres aleatorios%.exe
   • LUCOMSERVE = %WINDIR%\%serie de caracteres aleatorios%.exe
   • RVE = %WINDIR%\%serie de caracteres aleatorios%.exe
   • TFAK = %WINDIR%\%serie de caracteres aleatorios%.exe
   • VBCMSERV = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NWTOOL16 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • AVP32 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • ANTI-TROJAN = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NWSERVICE = %WINDIR%\%serie de caracteres aleatorios%.exe
   • CTRL = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NAVNT = %WINDIR%\%serie de caracteres aleatorios%.exe
   • AVXMONITORNT = %WINDIR%\%serie de caracteres aleatorios%.exe
   • AVPDOS32 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • AVPTC32 = %WINDIR%\%serie de caracteres aleatorios%.exe

P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:

–   Extrae carpetas compartidas tras emplear las siguientes claves del registro:
   • HKCU\Software\Kazaa\localcontent
   • HKCU\Software\Limewire
   • HKCU\Software\Shareaza
   • HKCU\Software\Morpheus
   • HKCU\Software\Xolox
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\edonkey2000

   Al tener éxito, crea los siguientes ficheros:
   • AIM_Account_Stealer_Crack.exe; AIM_Account_Stealer_Crack.exe;
      AIM_Account_Stealer_Full.exe; AIM_Account_Stealer_Full.exe;
      AIM_Account_Stealer_ISO_Full.exe;
      AIM_Account_Stealer_Key_Generator.exe; AIM_Account_Stealer_Patch.exe;
      AIM_Account_Stealer_Patch.exe; Cat_Attacks_Child_Crack.exe;
      Cat_Attacks_Child_Full.exe; Cat_Attacks_Child_ISO_Full.exe;
      Cat_Attacks_Child_ISO_Full.exe; Cat_Attacks_Child_Key_Generator.exe;
      Cat_Attacks_Child_Key_Generator.exe; Cat_Attacks_Child_Patch.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Crack.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Full.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_ISO_Full.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Key_Generator.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe;
      DSL_Modem_Uncapper_Crack.exe; DSL_Modem_Uncapper_Crack.exe;
      DSL_Modem_Uncapper_Full.exe; DSL_Modem_Uncapper_Full.exe;
      DSL_Modem_Uncapper_ISO_Full.exe; DSL_Modem_Uncapper_ISO_Full.exe;
      DSL_Modem_Uncapper_Key_Generator.exe; DSL_Modem_Uncapper_Patch.exe;
      Hacking_Tool_Collection_Crack.exe; Hacking_Tool_Collection_Crack.exe;
      Hacking_Tool_Collection_Full.exe;
      Hacking_Tool_Collection_ISO_Full.exe;
      Hacking_Tool_Collection_Key_Generator.exe;
      Hacking_Tool_Collection_Patch.exe; Hacking_Tool_Collection_Patch.exe;
      Internet_and_Computer_Speed_Booster_Crack.exe;
      Internet_and_Computer_Speed_Booster_Crack.exe;
      Internet_and_Computer_Speed_Booster_Full.exe;
      Internet_and_Computer_Speed_Booster_ISO_Full.exe;
      Internet_and_Computer_Speed_Booster_Key_Generator.exe;
      Internet_and_Computer_Speed_Booster_Patch.exe;
      Macromedia_Flash_5.0_Crack.exe; Macromedia_Flash_5.0_Full.exe;
      Macromedia_Flash_5.0_ISO_Full.exe; Macromedia_Flash_5.0_ISO_Full.exe;
      Macromedia_Flash_5.0_Key_Generator.exe;
      Macromedia_Flash_5.0_Key_Generator.exe;
      Macromedia_Flash_5.0_Patch.exe;
      MSN_Password_Hacker_and_Stealer_Crack.exe;
      MSN_Password_Hacker_and_Stealer_Full.exe;
      MSN_Password_Hacker_and_Stealer_Full.exe;
      MSN_Password_Hacker_and_Stealer_ISO_Full.exe;
      MSN_Password_Hacker_and_Stealer_Key_Generator.exe;
      MSN_Password_Hacker_and_Stealer_Patch.exe; Windows_XP_Crack.exe;
      Windows_XP_Crack.exe; Windows_XP_Full.exe; Windows_XP_Full.exe;
      Windows_XP_ISO_Full.exe; Windows_XP_Key_Generator.exe;
      Windows_XP_Key_Generator.exe; Windows_XP_Patch.exe;
      ZoneAlarm_Firewall_Crack.exe; ZoneAlarm_Firewall_Full.exe;
      ZoneAlarm_Firewall_ISO_Full.exe; ZoneAlarm_Firewall_Patch.exe;
      ZoneAlarm_Firewall_Patch.exe

   Estos ficheros son copias del programa malicioso.

Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Exploit:
Emplea la siguiente brecha de seguridad:
– Puerta trasera Mydoom (puerto 3127)

IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: 217.160.**********.243
Puerto: 6659
Canal: #GhostBot
Apodo: %nombre del usuario actual%%varios dígitos aleatorios%
Contraseña: x-bot6659

– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Usuario actual
    • Espacio libre en el disco
    • Memoria disponible
    • Informaciones acerca de la red
    • Tamaño de la memoria
    • Nombre de usuario

– Además puede efectuar las siguientes operaciones:
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Descargar fichero
    • Ejecutar fichero
    • Terminar proceso
    • Terminar proceso

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Andrei Gherman el miércoles 23 de noviembre de 2005
Descripción actualizada por Andrei Gherman el jueves 24 de noviembre de 2005

Volver . . . .