Worm/Gobot.S - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/Gobot.S
Descubierto:	22/11/2005
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio-alto
Potencial dañino:	Medio
Fichero estático:	No
Tamaño:	~41.200 Bytes
Versión del VDF:	6.26.00.56

General Métodos de propagación:
   • Red local
   • Peer to Peer

Alias:
   • Kaspersky: Backdoor.Win32.Gobot.s
   • TrendMicro: WORM_GOBOT.S
   • F-Secure: W32/Agobot.AVU
   • Sophos: W32/Gobot-C
   • Bitdefender: Backdoor.Gabot.A

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %WINDIR%\%serie de caracteres aleatorios%.exe

Crea el siguiente fichero:

– %WINDIR%\setup.txt En este fichero se registran las pulsaciones de teclado.

Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • AVPCC = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NPROTECT = %WINDIR%\%serie de caracteres aleatorios%.exe
   • SMC = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NETUTILS = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NTXCONFIG = %WINDIR%\%serie de caracteres aleatorios%.exe
   • LDNETMON = %WINDIR%\%serie de caracteres aleatorios%.exe
   • CONNECTIONMONITOR = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NVSVC32 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • AVSYNMGR = %WINDIR%\%serie de caracteres aleatorios%.exe
   • ERICS = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NAVENGNAVEX15 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NAV AUTO-PROTECT = %WINDIR%\%serie de caracteres aleatorios%.exe
   • CPDCLNT = %WINDIR%\%serie de caracteres aleatorios%.exe
   • MPFSERVICE = %WINDIR%\%serie de caracteres aleatorios%.exe
   • MPFTRAY = %WINDIR%\%serie de caracteres aleatorios%.exe
   • PORTMONITOR = %WINDIR%\%serie de caracteres aleatorios%.exe
   • CPDCLNT = %WINDIR%\%serie de caracteres aleatorios%.exe
   • VSHWIN32 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • VSECOMR = %WINDIR%\%serie de caracteres aleatorios%.exe
   • WEBSCANX = %WINDIR%\%serie de caracteres aleatorios%.exe
   • TCMON = %WINDIR%\%serie de caracteres aleatorios%.exe
   • ALOGSERV = %WINDIR%\%serie de caracteres aleatorios%.exe
   • CMGRDIAN = %WINDIR%\%serie de caracteres aleatorios%.exe
   • RULAUNCH = %WINDIR%\%serie de caracteres aleatorios%.exe
   • DVP95 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • PROCESSMONITOR = %WINDIR%\%serie de caracteres aleatorios%.exe
   • FRW = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NAVAP = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NAVAPW32 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • DEFWATCH = %WINDIR%\%serie de caracteres aleatorios%.exe
   • GENERICS = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NAVAPSVC = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NTVDM = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NAVWNT = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NAVLU32 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • LUALL = %WINDIR%\%serie de caracteres aleatorios%.exe
   • SWNETSUP = %WINDIR%\%serie de caracteres aleatorios%.exe
   • ICLOAD95 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • TDS-3 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • ICMON = %WINDIR%\%serie de caracteres aleatorios%.exe
   • ICSUPP95 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • IFACE = %WINDIR%\%serie de caracteres aleatorios%.exe
   • ADVXDWIN = %WINDIR%\%serie de caracteres aleatorios%.exe
   • PADMIN = %WINDIR%\%serie de caracteres aleatorios%.exe
   • RAV7WIN = %WINDIR%\%serie de caracteres aleatorios%.exe
   • WATCHDOG = %WINDIR%\%serie de caracteres aleatorios%.exe
   • MINILOG = %WINDIR%\%serie de caracteres aleatorios%.exe
   • P-WIN = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NDD32 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • FNRB32 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NMAIN = %WINDIR%\%serie de caracteres aleatorios%.exe
   • IAMSERV = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NPSCHECK = %WINDIR%\%serie de caracteres aleatorios%.exe
   • AGENTW = %WINDIR%\%serie de caracteres aleatorios%.exe
   • PERSFW = %WINDIR%\%serie de caracteres aleatorios%.exe
   • PERSWF = %WINDIR%\%serie de caracteres aleatorios%.exe
   • LOCKDOWN = %WINDIR%\%serie de caracteres aleatorios%.exe
   • SPYXX = %WINDIR%\%serie de caracteres aleatorios%.exe
   • WEBTRAP = %WINDIR%\%serie de caracteres aleatorios%.exe
   • ATCON = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NPROTECT = %WINDIR%\%serie de caracteres aleatorios%.exe
   • WGFE95 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • ZONEALARM = %WINDIR%\%serie de caracteres aleatorios%.exe
   • VSMON = %WINDIR%\%serie de caracteres aleatorios%.exe
   • AVKSERV = %WINDIR%\%serie de caracteres aleatorios%.exe
   • MPFAGENT = %WINDIR%\%serie de caracteres aleatorios%.exe
   • MPFSERVICE = %WINDIR%\%serie de caracteres aleatorios%.exe
   • MPFTRAY = %WINDIR%\%serie de caracteres aleatorios%.exe
   • PORTMONITOR = %WINDIR%\%serie de caracteres aleatorios%.exe
   • VSHWIN32 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • WEBSCANX = %WINDIR%\%serie de caracteres aleatorios%.exe
   • VSSTAT = %WINDIR%\%serie de caracteres aleatorios%.exe
   • PCCWIN98 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • ATUPDATE = %WINDIR%\%serie de caracteres aleatorios%.exe
   • AVCONSOL = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NSCHED32 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • KAVDOS32 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • ESPWATCH = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NEOWATCHLOG = %WINDIR%\%serie de caracteres aleatorios%.exe
   • AUTOTRACE = %WINDIR%\%serie de caracteres aleatorios%.exe
   • AUTODOWN = %WINDIR%\%serie de caracteres aleatorios%.exe
   • VETTRAY = %WINDIR%\%serie de caracteres aleatorios%.exe
   • SAFEWEB = %WINDIR%\%serie de caracteres aleatorios%.exe
   • VSCAN40 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • CFIADMIN = %WINDIR%\%serie de caracteres aleatorios%.exe
   • LUCOMSERVE = %WINDIR%\%serie de caracteres aleatorios%.exe
   • RVE = %WINDIR%\%serie de caracteres aleatorios%.exe
   • TFAK = %WINDIR%\%serie de caracteres aleatorios%.exe
   • VBCMSERV = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NWTOOL16 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • AVP32 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • ANTI-TROJAN = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NWSERVICE = %WINDIR%\%serie de caracteres aleatorios%.exe
   • CTRL = %WINDIR%\%serie de caracteres aleatorios%.exe
   • NAVNT = %WINDIR%\%serie de caracteres aleatorios%.exe
   • AVXMONITORNT = %WINDIR%\%serie de caracteres aleatorios%.exe
   • AVPDOS32 = %WINDIR%\%serie de caracteres aleatorios%.exe
   • AVPTC32 = %WINDIR%\%serie de caracteres aleatorios%.exe

P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:

–   Extrae carpetas compartidas tras emplear las siguientes claves del registro:
   • HKCU\Software\Kazaa\localcontent
   • HKCU\Software\Limewire
   • HKCU\Software\Shareaza
   • HKCU\Software\Morpheus
   • HKCU\Software\Xolox
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\edonkey2000

   Al tener éxito, crea los siguientes ficheros:
   • AIM_Account_Stealer_Crack.exe; AIM_Account_Stealer_Crack.exe;
      AIM_Account_Stealer_Full.exe; AIM_Account_Stealer_Full.exe;
      AIM_Account_Stealer_ISO_Full.exe;
      AIM_Account_Stealer_Key_Generator.exe; AIM_Account_Stealer_Patch.exe;
      AIM_Account_Stealer_Patch.exe; Cat_Attacks_Child_Crack.exe;
      Cat_Attacks_Child_Full.exe; Cat_Attacks_Child_ISO_Full.exe;
      Cat_Attacks_Child_ISO_Full.exe; Cat_Attacks_Child_Key_Generator.exe;
      Cat_Attacks_Child_Key_Generator.exe; Cat_Attacks_Child_Patch.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Crack.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Full.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_ISO_Full.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Key_Generator.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe;
      DSL_Modem_Uncapper_Crack.exe; DSL_Modem_Uncapper_Crack.exe;
      DSL_Modem_Uncapper_Full.exe; DSL_Modem_Uncapper_Full.exe;
      DSL_Modem_Uncapper_ISO_Full.exe; DSL_Modem_Uncapper_ISO_Full.exe;
      DSL_Modem_Uncapper_Key_Generator.exe; DSL_Modem_Uncapper_Patch.exe;
      Hacking_Tool_Collection_Crack.exe; Hacking_Tool_Collection_Crack.exe;
      Hacking_Tool_Collection_Full.exe;
      Hacking_Tool_Collection_ISO_Full.exe;
      Hacking_Tool_Collection_Key_Generator.exe;
      Hacking_Tool_Collection_Patch.exe; Hacking_Tool_Collection_Patch.exe;
      Internet_and_Computer_Speed_Booster_Crack.exe;
      Internet_and_Computer_Speed_Booster_Crack.exe;
      Internet_and_Computer_Speed_Booster_Full.exe;
      Internet_and_Computer_Speed_Booster_ISO_Full.exe;
      Internet_and_Computer_Speed_Booster_Key_Generator.exe;
      Internet_and_Computer_Speed_Booster_Patch.exe;
      Macromedia_Flash_5.0_Crack.exe; Macromedia_Flash_5.0_Full.exe;
      Macromedia_Flash_5.0_ISO_Full.exe; Macromedia_Flash_5.0_ISO_Full.exe;
      Macromedia_Flash_5.0_Key_Generator.exe;
      Macromedia_Flash_5.0_Key_Generator.exe;
      Macromedia_Flash_5.0_Patch.exe;
      MSN_Password_Hacker_and_Stealer_Crack.exe;
      MSN_Password_Hacker_and_Stealer_Full.exe;
      MSN_Password_Hacker_and_Stealer_Full.exe;
      MSN_Password_Hacker_and_Stealer_ISO_Full.exe;
      MSN_Password_Hacker_and_Stealer_Key_Generator.exe;
      MSN_Password_Hacker_and_Stealer_Patch.exe; Windows_XP_Crack.exe;
      Windows_XP_Crack.exe; Windows_XP_Full.exe; Windows_XP_Full.exe;
      Windows_XP_ISO_Full.exe; Windows_XP_Key_Generator.exe;
      Windows_XP_Key_Generator.exe; Windows_XP_Patch.exe;
      ZoneAlarm_Firewall_Crack.exe; ZoneAlarm_Firewall_Full.exe;
      ZoneAlarm_Firewall_ISO_Full.exe; ZoneAlarm_Firewall_Patch.exe;
      ZoneAlarm_Firewall_Patch.exe

   Estos ficheros son copias del programa malicioso.

Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Exploit:
Emplea la siguiente brecha de seguridad:
– Puerta trasera Mydoom (puerto 3127)

IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: 217.160.**********.243
Puerto: 6659
Canal: #GhostBot
Apodo: %nombre del usuario actual%%varios números aleatorios entre 0 - 9%
Contraseña: x-bot6659

– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Velocidad del procesador
    • Usuario actual
    • Espacio libre en el disco
    • Memoria disponible
    • Informaciones acerca de la red
    • Tamaño de la memoria
    • Nombre de usuario

– Además puede efectuar las siguientes operaciones:
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Descargar fichero
    • Ejecutar fichero
    • Terminar proceso
    • Terminar proceso

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Wed, 23 Nov 2005 10:40 (GMT+1)
Descripción actualizada por Andrei Gherman el Thu, 24 Nov 2005 15:38 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back