Nume:Worm/Gobot.S
Descoperit pe data de:22/11/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu
Fisier static:Nu
Marime:~41.200 Bytes
Versiune VDF:6.26.00.56

 General Metode de raspandire:
   • Reteaua locala
   • Peer to Peer


Alias:
   •  Kaspersky: Backdoor.Win32.Gobot.s
   •  TrendMicro: WORM_GOBOT.S
   •  F-Secure: W32/Agobot.AVU
   •  Sophos: W32/Gobot-C
   •  Bitdefender: Backdoor.Gabot.A


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\%combinatie de caractere aleatoare%.exe



Este creat fisierul:

– %WINDIR%\setup.txt Acest fisier stocheaza datele introduse de utilizator la tastatura.

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • AVPCC = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NPROTECT = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • SMC = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NETUTILS = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NTXCONFIG = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • LDNETMON = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • CONNECTIONMONITOR = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NVSVC32 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • AVSYNMGR = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • ERICS = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NAVENGNAVEX15 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NAV AUTO-PROTECT = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • CPDCLNT = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • MPFSERVICE = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • MPFTRAY = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • PORTMONITOR = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • CPDCLNT = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • VSHWIN32 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • VSECOMR = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • WEBSCANX = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • TCMON = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • ALOGSERV = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • CMGRDIAN = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • RULAUNCH = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • DVP95 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • PROCESSMONITOR = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • FRW = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NAVAP = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NAVAPW32 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • DEFWATCH = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • GENERICS = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NAVAPSVC = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NTVDM = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NAVWNT = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NAVLU32 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • LUALL = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • SWNETSUP = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • ICLOAD95 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • TDS-3 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • ICMON = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • ICSUPP95 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • IFACE = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • ADVXDWIN = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • PADMIN = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • RAV7WIN = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • WATCHDOG = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • MINILOG = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • P-WIN = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NDD32 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • FNRB32 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NMAIN = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • IAMSERV = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NPSCHECK = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • AGENTW = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • PERSFW = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • PERSWF = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • LOCKDOWN = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • SPYXX = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • WEBTRAP = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • ATCON = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NPROTECT = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • WGFE95 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • ZONEALARM = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • VSMON = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • AVKSERV = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • MPFAGENT = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • MPFSERVICE = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • MPFTRAY = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • PORTMONITOR = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • VSHWIN32 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • WEBSCANX = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • VSSTAT = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • PCCWIN98 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • ATUPDATE = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • AVCONSOL = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NSCHED32 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • KAVDOS32 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • ESPWATCH = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NEOWATCHLOG = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • AUTOTRACE = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • AUTODOWN = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • VETTRAY = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • SAFEWEB = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • VSCAN40 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • CFIADMIN = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • LUCOMSERVE = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • RVE = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • TFAK = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • VBCMSERV = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NWTOOL16 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • AVP32 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • ANTI-TROJAN = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NWSERVICE = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • CTRL = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NAVNT = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • AVXMONITORNT = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • AVPDOS32 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • AVPTC32 = %WINDIR%\%combinatie de caractere aleatoare%.exe

 P2P  Pentru a infecta alte sisteme din retele Peer-to-Peer, efectueaza urmatarele operatii:  


   Extrage fisierele partajate, folosind urmatoarele chei de registru:
   • HKCU\Software\Kazaa\localcontent
   • HKCU\Software\Limewire
   • HKCU\Software\Shareaza
   • HKCU\Software\Morpheus
   • HKCU\Software\Xolox
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\edonkey2000

   Daca reuseste, sunt create urmatoarele fisiere:
   • AIM_Account_Stealer_Crack.exe; AIM_Account_Stealer_Crack.exe;
      AIM_Account_Stealer_Full.exe; AIM_Account_Stealer_Full.exe;
      AIM_Account_Stealer_ISO_Full.exe;
      AIM_Account_Stealer_Key_Generator.exe; AIM_Account_Stealer_Patch.exe;
      AIM_Account_Stealer_Patch.exe; Cat_Attacks_Child_Crack.exe;
      Cat_Attacks_Child_Full.exe; Cat_Attacks_Child_ISO_Full.exe;
      Cat_Attacks_Child_ISO_Full.exe; Cat_Attacks_Child_Key_Generator.exe;
      Cat_Attacks_Child_Key_Generator.exe; Cat_Attacks_Child_Patch.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Crack.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Full.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_ISO_Full.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Key_Generator.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe;
      DSL_Modem_Uncapper_Crack.exe; DSL_Modem_Uncapper_Crack.exe;
      DSL_Modem_Uncapper_Full.exe; DSL_Modem_Uncapper_Full.exe;
      DSL_Modem_Uncapper_ISO_Full.exe; DSL_Modem_Uncapper_ISO_Full.exe;
      DSL_Modem_Uncapper_Key_Generator.exe; DSL_Modem_Uncapper_Patch.exe;
      Hacking_Tool_Collection_Crack.exe; Hacking_Tool_Collection_Crack.exe;
      Hacking_Tool_Collection_Full.exe;
      Hacking_Tool_Collection_ISO_Full.exe;
      Hacking_Tool_Collection_Key_Generator.exe;
      Hacking_Tool_Collection_Patch.exe; Hacking_Tool_Collection_Patch.exe;
      Internet_and_Computer_Speed_Booster_Crack.exe;
      Internet_and_Computer_Speed_Booster_Crack.exe;
      Internet_and_Computer_Speed_Booster_Full.exe;
      Internet_and_Computer_Speed_Booster_ISO_Full.exe;
      Internet_and_Computer_Speed_Booster_Key_Generator.exe;
      Internet_and_Computer_Speed_Booster_Patch.exe;
      Macromedia_Flash_5.0_Crack.exe; Macromedia_Flash_5.0_Full.exe;
      Macromedia_Flash_5.0_ISO_Full.exe; Macromedia_Flash_5.0_ISO_Full.exe;
      Macromedia_Flash_5.0_Key_Generator.exe;
      Macromedia_Flash_5.0_Key_Generator.exe;
      Macromedia_Flash_5.0_Patch.exe;
      MSN_Password_Hacker_and_Stealer_Crack.exe;
      MSN_Password_Hacker_and_Stealer_Full.exe;
      MSN_Password_Hacker_and_Stealer_Full.exe;
      MSN_Password_Hacker_and_Stealer_ISO_Full.exe;
      MSN_Password_Hacker_and_Stealer_Key_Generator.exe;
      MSN_Password_Hacker_and_Stealer_Patch.exe; Windows_XP_Crack.exe;
      Windows_XP_Crack.exe; Windows_XP_Full.exe; Windows_XP_Full.exe;
      Windows_XP_ISO_Full.exe; Windows_XP_Key_Generator.exe;
      Windows_XP_Key_Generator.exe; Windows_XP_Patch.exe;
      ZoneAlarm_Firewall_Crack.exe; ZoneAlarm_Firewall_Full.exe;
      ZoneAlarm_Firewall_ISO_Full.exe; ZoneAlarm_Firewall_Patch.exe;
      ZoneAlarm_Firewall_Patch.exe

   Aceste fişiere sunt copii ale malware-ului.

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Exploit:
Foloseste urmatoarea vulnerabilitate:
– Mydoom backdoor (port 3127)

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: 217.160.**********.243
Port: 6659
Canal: #GhostBot
Nick: %numele utilizatorului curent%%cateva cifre aleatoare%
Parola: x-bot6659



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Utilizatorul curent
    • Spatiu liber pe disc
    • Memorie nealocata
    • Informatii despre retea
    • Cantitatea de memorie
    • Utilizator


– In plus, poate efectua urmatoarele operatii:
    • Lanseaza atacuri DDoS SYN
    • descarcare fisier
    • executarea unui fisier
    • terminare proces
    • terminare proces

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Andrei Gherman el miércoles 23 de noviembre de 2005
Descripción actualizada por Andrei Gherman el jueves 24 de noviembre de 2005

Volver . . . .