Nume:Worm/Gobot.S
Descoperit pe data de:22/11/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu
Fisier static:Nu
Marime:~41.200 Bytes
Versiune VDF:6.26.00.56

 General Metode de raspandire:
   • Reteaua locala
   • Peer to Peer


Alias:
   •  Kaspersky: Backdoor.Win32.Gobot.s
   •  TrendMicro: WORM_GOBOT.S
   •  F-Secure: W32/Agobot.AVU
   •  Sophos: W32/Gobot-C
   •  Bitdefender: Backdoor.Gabot.A


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\%combinatie de caractere aleatoare%.exe



Este creat fisierul:

– %WINDIR%\setup.txt Acest fisier stocheaza datele introduse de utilizator la tastatura.

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • AVPCC = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NPROTECT = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • SMC = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NETUTILS = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NTXCONFIG = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • LDNETMON = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • CONNECTIONMONITOR = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NVSVC32 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • AVSYNMGR = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • ERICS = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NAVENGNAVEX15 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NAV AUTO-PROTECT = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • CPDCLNT = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • MPFSERVICE = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • MPFTRAY = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • PORTMONITOR = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • CPDCLNT = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • VSHWIN32 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • VSECOMR = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • WEBSCANX = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • TCMON = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • ALOGSERV = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • CMGRDIAN = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • RULAUNCH = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • DVP95 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • PROCESSMONITOR = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • FRW = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NAVAP = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NAVAPW32 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • DEFWATCH = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • GENERICS = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NAVAPSVC = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NTVDM = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NAVWNT = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NAVLU32 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • LUALL = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • SWNETSUP = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • ICLOAD95 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • TDS-3 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • ICMON = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • ICSUPP95 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • IFACE = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • ADVXDWIN = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • PADMIN = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • RAV7WIN = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • WATCHDOG = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • MINILOG = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • P-WIN = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NDD32 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • FNRB32 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NMAIN = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • IAMSERV = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NPSCHECK = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • AGENTW = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • PERSFW = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • PERSWF = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • LOCKDOWN = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • SPYXX = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • WEBTRAP = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • ATCON = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NPROTECT = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • WGFE95 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • ZONEALARM = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • VSMON = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • AVKSERV = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • MPFAGENT = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • MPFSERVICE = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • MPFTRAY = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • PORTMONITOR = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • VSHWIN32 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • WEBSCANX = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • VSSTAT = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • PCCWIN98 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • ATUPDATE = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • AVCONSOL = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NSCHED32 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • KAVDOS32 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • ESPWATCH = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NEOWATCHLOG = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • AUTOTRACE = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • AUTODOWN = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • VETTRAY = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • SAFEWEB = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • VSCAN40 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • CFIADMIN = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • LUCOMSERVE = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • RVE = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • TFAK = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • VBCMSERV = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NWTOOL16 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • AVP32 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • ANTI-TROJAN = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NWSERVICE = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • CTRL = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • NAVNT = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • AVXMONITORNT = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • AVPDOS32 = %WINDIR%\%combinatie de caractere aleatoare%.exe
   • AVPTC32 = %WINDIR%\%combinatie de caractere aleatoare%.exe

 P2P  Pentru a infecta alte sisteme din retele Peer-to-Peer, efectueaza urmatarele operatii:  


   Extrage fisierele partajate, folosind urmatoarele chei de registru:
   • HKCU\Software\Kazaa\localcontent
   • HKCU\Software\Limewire
   • HKCU\Software\Shareaza
   • HKCU\Software\Morpheus
   • HKCU\Software\Xolox
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\edonkey2000

   Daca reuseste, sunt create urmatoarele fisiere:
   • AIM_Account_Stealer_Crack.exe; AIM_Account_Stealer_Crack.exe;
      AIM_Account_Stealer_Full.exe; AIM_Account_Stealer_Full.exe;
      AIM_Account_Stealer_ISO_Full.exe;
      AIM_Account_Stealer_Key_Generator.exe; AIM_Account_Stealer_Patch.exe;
      AIM_Account_Stealer_Patch.exe; Cat_Attacks_Child_Crack.exe;
      Cat_Attacks_Child_Full.exe; Cat_Attacks_Child_ISO_Full.exe;
      Cat_Attacks_Child_ISO_Full.exe; Cat_Attacks_Child_Key_Generator.exe;
      Cat_Attacks_Child_Key_Generator.exe; Cat_Attacks_Child_Patch.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Crack.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Full.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_ISO_Full.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Key_Generator.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe;
      DSL_Modem_Uncapper_Crack.exe; DSL_Modem_Uncapper_Crack.exe;
      DSL_Modem_Uncapper_Full.exe; DSL_Modem_Uncapper_Full.exe;
      DSL_Modem_Uncapper_ISO_Full.exe; DSL_Modem_Uncapper_ISO_Full.exe;
      DSL_Modem_Uncapper_Key_Generator.exe; DSL_Modem_Uncapper_Patch.exe;
      Hacking_Tool_Collection_Crack.exe; Hacking_Tool_Collection_Crack.exe;
      Hacking_Tool_Collection_Full.exe;
      Hacking_Tool_Collection_ISO_Full.exe;
      Hacking_Tool_Collection_Key_Generator.exe;
      Hacking_Tool_Collection_Patch.exe; Hacking_Tool_Collection_Patch.exe;
      Internet_and_Computer_Speed_Booster_Crack.exe;
      Internet_and_Computer_Speed_Booster_Crack.exe;
      Internet_and_Computer_Speed_Booster_Full.exe;
      Internet_and_Computer_Speed_Booster_ISO_Full.exe;
      Internet_and_Computer_Speed_Booster_Key_Generator.exe;
      Internet_and_Computer_Speed_Booster_Patch.exe;
      Macromedia_Flash_5.0_Crack.exe; Macromedia_Flash_5.0_Full.exe;
      Macromedia_Flash_5.0_ISO_Full.exe; Macromedia_Flash_5.0_ISO_Full.exe;
      Macromedia_Flash_5.0_Key_Generator.exe;
      Macromedia_Flash_5.0_Key_Generator.exe;
      Macromedia_Flash_5.0_Patch.exe;
      MSN_Password_Hacker_and_Stealer_Crack.exe;
      MSN_Password_Hacker_and_Stealer_Full.exe;
      MSN_Password_Hacker_and_Stealer_Full.exe;
      MSN_Password_Hacker_and_Stealer_ISO_Full.exe;
      MSN_Password_Hacker_and_Stealer_Key_Generator.exe;
      MSN_Password_Hacker_and_Stealer_Patch.exe; Windows_XP_Crack.exe;
      Windows_XP_Crack.exe; Windows_XP_Full.exe; Windows_XP_Full.exe;
      Windows_XP_ISO_Full.exe; Windows_XP_Key_Generator.exe;
      Windows_XP_Key_Generator.exe; Windows_XP_Patch.exe;
      ZoneAlarm_Firewall_Crack.exe; ZoneAlarm_Firewall_Full.exe;
      ZoneAlarm_Firewall_ISO_Full.exe; ZoneAlarm_Firewall_Patch.exe;
      ZoneAlarm_Firewall_Patch.exe

   Aceste fişiere sunt copii ale malware-ului.

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Exploit:
Foloseste urmatoarea vulnerabilitate:
– Mydoom backdoor (port 3127)

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: 217.160.**********.243
Port: 6659
Canal: #GhostBot
Nick: %numele utilizatorului curent%%cateva cifre aleatoare%
Parola: x-bot6659



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Utilizatorul curent
    • Spatiu liber pe disc
    • Memorie nealocata
    • Informatii despre retea
    • Cantitatea de memorie
    • Utilizator


– In plus, poate efectua urmatoarele operatii:
    • Lanseaza atacuri DDoS SYN
    • descarcare fisier
    • executarea unui fisier
    • terminare proces
    • terminare proces

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Andrei Gherman le mercredi 23 novembre 2005
Description mise à jour par Andrei Gherman le jeudi 24 novembre 2005

Retour . . . .