Descrizione completa

Nome del virus:	Worm/Gobot.S
Scoperto:	22/11/2005
Tipo:	Worm
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio-Alto
Potenziale di danni:	Medio
File statico:	No
Dimensione del file:	~41.200 Byte
Versione VDF:	6.26.00.56

Generale Metodi di propagazione:
   • Rete locale
   • Peer to Peer

Alias:
   • Kaspersky: Backdoor.Win32.Gobot.s
   • TrendMicro: WORM_GOBOT.S
   • F-Secure: W32/Agobot.AVU
   • Sophos: W32/Gobot-C
   • Bitdefender: Backdoor.Gabot.A

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Registra le battute di tastiera
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

File Si copia alla seguente posizione:
• %WINDIR%\%stringa di caratteri casuale%.exe

Viene creato il seguente file:

– %WINDIR%\setup.txt Questo file contiene le battute di tastiera recuperate.

Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • AVPCC = %WINDIR%\%stringa di caratteri casuale%.exe
   • NPROTECT = %WINDIR%\%stringa di caratteri casuale%.exe
   • SMC = %WINDIR%\%stringa di caratteri casuale%.exe
   • NETUTILS = %WINDIR%\%stringa di caratteri casuale%.exe
   • NTXCONFIG = %WINDIR%\%stringa di caratteri casuale%.exe
   • LDNETMON = %WINDIR%\%stringa di caratteri casuale%.exe
   • CONNECTIONMONITOR = %WINDIR%\%stringa di caratteri casuale%.exe
   • NVSVC32 = %WINDIR%\%stringa di caratteri casuale%.exe
   • AVSYNMGR = %WINDIR%\%stringa di caratteri casuale%.exe
   • ERICS = %WINDIR%\%stringa di caratteri casuale%.exe
   • NAVENGNAVEX15 = %WINDIR%\%stringa di caratteri casuale%.exe
   • NAV AUTO-PROTECT = %WINDIR%\%stringa di caratteri casuale%.exe
   • CPDCLNT = %WINDIR%\%stringa di caratteri casuale%.exe
   • MPFSERVICE = %WINDIR%\%stringa di caratteri casuale%.exe
   • MPFTRAY = %WINDIR%\%stringa di caratteri casuale%.exe
   • PORTMONITOR = %WINDIR%\%stringa di caratteri casuale%.exe
   • CPDCLNT = %WINDIR%\%stringa di caratteri casuale%.exe
   • VSHWIN32 = %WINDIR%\%stringa di caratteri casuale%.exe
   • VSECOMR = %WINDIR%\%stringa di caratteri casuale%.exe
   • WEBSCANX = %WINDIR%\%stringa di caratteri casuale%.exe
   • TCMON = %WINDIR%\%stringa di caratteri casuale%.exe
   • ALOGSERV = %WINDIR%\%stringa di caratteri casuale%.exe
   • CMGRDIAN = %WINDIR%\%stringa di caratteri casuale%.exe
   • RULAUNCH = %WINDIR%\%stringa di caratteri casuale%.exe
   • DVP95 = %WINDIR%\%stringa di caratteri casuale%.exe
   • PROCESSMONITOR = %WINDIR%\%stringa di caratteri casuale%.exe
   • FRW = %WINDIR%\%stringa di caratteri casuale%.exe
   • NAVAP = %WINDIR%\%stringa di caratteri casuale%.exe
   • NAVAPW32 = %WINDIR%\%stringa di caratteri casuale%.exe
   • DEFWATCH = %WINDIR%\%stringa di caratteri casuale%.exe
   • GENERICS = %WINDIR%\%stringa di caratteri casuale%.exe
   • NAVAPSVC = %WINDIR%\%stringa di caratteri casuale%.exe
   • NTVDM = %WINDIR%\%stringa di caratteri casuale%.exe
   • NAVWNT = %WINDIR%\%stringa di caratteri casuale%.exe
   • NAVLU32 = %WINDIR%\%stringa di caratteri casuale%.exe
   • LUALL = %WINDIR%\%stringa di caratteri casuale%.exe
   • SWNETSUP = %WINDIR%\%stringa di caratteri casuale%.exe
   • ICLOAD95 = %WINDIR%\%stringa di caratteri casuale%.exe
   • TDS-3 = %WINDIR%\%stringa di caratteri casuale%.exe
   • ICMON = %WINDIR%\%stringa di caratteri casuale%.exe
   • ICSUPP95 = %WINDIR%\%stringa di caratteri casuale%.exe
   • IFACE = %WINDIR%\%stringa di caratteri casuale%.exe
   • ADVXDWIN = %WINDIR%\%stringa di caratteri casuale%.exe
   • PADMIN = %WINDIR%\%stringa di caratteri casuale%.exe
   • RAV7WIN = %WINDIR%\%stringa di caratteri casuale%.exe
   • WATCHDOG = %WINDIR%\%stringa di caratteri casuale%.exe
   • MINILOG = %WINDIR%\%stringa di caratteri casuale%.exe
   • P-WIN = %WINDIR%\%stringa di caratteri casuale%.exe
   • NDD32 = %WINDIR%\%stringa di caratteri casuale%.exe
   • FNRB32 = %WINDIR%\%stringa di caratteri casuale%.exe
   • NMAIN = %WINDIR%\%stringa di caratteri casuale%.exe
   • IAMSERV = %WINDIR%\%stringa di caratteri casuale%.exe
   • NPSCHECK = %WINDIR%\%stringa di caratteri casuale%.exe
   • AGENTW = %WINDIR%\%stringa di caratteri casuale%.exe
   • PERSFW = %WINDIR%\%stringa di caratteri casuale%.exe
   • PERSWF = %WINDIR%\%stringa di caratteri casuale%.exe
   • LOCKDOWN = %WINDIR%\%stringa di caratteri casuale%.exe
   • SPYXX = %WINDIR%\%stringa di caratteri casuale%.exe
   • WEBTRAP = %WINDIR%\%stringa di caratteri casuale%.exe
   • ATCON = %WINDIR%\%stringa di caratteri casuale%.exe
   • NPROTECT = %WINDIR%\%stringa di caratteri casuale%.exe
   • WGFE95 = %WINDIR%\%stringa di caratteri casuale%.exe
   • ZONEALARM = %WINDIR%\%stringa di caratteri casuale%.exe
   • VSMON = %WINDIR%\%stringa di caratteri casuale%.exe
   • AVKSERV = %WINDIR%\%stringa di caratteri casuale%.exe
   • MPFAGENT = %WINDIR%\%stringa di caratteri casuale%.exe
   • MPFSERVICE = %WINDIR%\%stringa di caratteri casuale%.exe
   • MPFTRAY = %WINDIR%\%stringa di caratteri casuale%.exe
   • PORTMONITOR = %WINDIR%\%stringa di caratteri casuale%.exe
   • VSHWIN32 = %WINDIR%\%stringa di caratteri casuale%.exe
   • WEBSCANX = %WINDIR%\%stringa di caratteri casuale%.exe
   • VSSTAT = %WINDIR%\%stringa di caratteri casuale%.exe
   • PCCWIN98 = %WINDIR%\%stringa di caratteri casuale%.exe
   • ATUPDATE = %WINDIR%\%stringa di caratteri casuale%.exe
   • AVCONSOL = %WINDIR%\%stringa di caratteri casuale%.exe
   • NSCHED32 = %WINDIR%\%stringa di caratteri casuale%.exe
   • KAVDOS32 = %WINDIR%\%stringa di caratteri casuale%.exe
   • ESPWATCH = %WINDIR%\%stringa di caratteri casuale%.exe
   • NEOWATCHLOG = %WINDIR%\%stringa di caratteri casuale%.exe
   • AUTOTRACE = %WINDIR%\%stringa di caratteri casuale%.exe
   • AUTODOWN = %WINDIR%\%stringa di caratteri casuale%.exe
   • VETTRAY = %WINDIR%\%stringa di caratteri casuale%.exe
   • SAFEWEB = %WINDIR%\%stringa di caratteri casuale%.exe
   • VSCAN40 = %WINDIR%\%stringa di caratteri casuale%.exe
   • CFIADMIN = %WINDIR%\%stringa di caratteri casuale%.exe
   • LUCOMSERVE = %WINDIR%\%stringa di caratteri casuale%.exe
   • RVE = %WINDIR%\%stringa di caratteri casuale%.exe
   • TFAK = %WINDIR%\%stringa di caratteri casuale%.exe
   • VBCMSERV = %WINDIR%\%stringa di caratteri casuale%.exe
   • NWTOOL16 = %WINDIR%\%stringa di caratteri casuale%.exe
   • AVP32 = %WINDIR%\%stringa di caratteri casuale%.exe
   • ANTI-TROJAN = %WINDIR%\%stringa di caratteri casuale%.exe
   • NWSERVICE = %WINDIR%\%stringa di caratteri casuale%.exe
   • CTRL = %WINDIR%\%stringa di caratteri casuale%.exe
   • NAVNT = %WINDIR%\%stringa di caratteri casuale%.exe
   • AVXMONITORNT = %WINDIR%\%stringa di caratteri casuale%.exe
   • AVPDOS32 = %WINDIR%\%stringa di caratteri casuale%.exe
   • AVPTC32 = %WINDIR%\%stringa di caratteri casuale%.exe

P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:

–   Recupera le cartelle condivise interrogando le seguenti chiavi di registro:
   • HKCU\Software\Kazaa\localcontent
   • HKCU\Software\Limewire
   • HKCU\Software\Shareaza
   • HKCU\Software\Morpheus
   • HKCU\Software\Xolox
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\edonkey2000

   Se riuscito, i seguenti file vengono creati:
   • AIM_Account_Stealer_Crack.exe; AIM_Account_Stealer_Crack.exe;
      AIM_Account_Stealer_Full.exe; AIM_Account_Stealer_Full.exe;
      AIM_Account_Stealer_ISO_Full.exe;
      AIM_Account_Stealer_Key_Generator.exe; AIM_Account_Stealer_Patch.exe;
      AIM_Account_Stealer_Patch.exe; Cat_Attacks_Child_Crack.exe;
      Cat_Attacks_Child_Full.exe; Cat_Attacks_Child_ISO_Full.exe;
      Cat_Attacks_Child_ISO_Full.exe; Cat_Attacks_Child_Key_Generator.exe;
      Cat_Attacks_Child_Key_Generator.exe; Cat_Attacks_Child_Patch.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Crack.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Full.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_ISO_Full.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Key_Generator.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe;
      DSL_Modem_Uncapper_Crack.exe; DSL_Modem_Uncapper_Crack.exe;
      DSL_Modem_Uncapper_Full.exe; DSL_Modem_Uncapper_Full.exe;
      DSL_Modem_Uncapper_ISO_Full.exe; DSL_Modem_Uncapper_ISO_Full.exe;
      DSL_Modem_Uncapper_Key_Generator.exe; DSL_Modem_Uncapper_Patch.exe;
      Hacking_Tool_Collection_Crack.exe; Hacking_Tool_Collection_Crack.exe;
      Hacking_Tool_Collection_Full.exe;
      Hacking_Tool_Collection_ISO_Full.exe;
      Hacking_Tool_Collection_Key_Generator.exe;
      Hacking_Tool_Collection_Patch.exe; Hacking_Tool_Collection_Patch.exe;
      Internet_and_Computer_Speed_Booster_Crack.exe;
      Internet_and_Computer_Speed_Booster_Crack.exe;
      Internet_and_Computer_Speed_Booster_Full.exe;
      Internet_and_Computer_Speed_Booster_ISO_Full.exe;
      Internet_and_Computer_Speed_Booster_Key_Generator.exe;
      Internet_and_Computer_Speed_Booster_Patch.exe;
      Macromedia_Flash_5.0_Crack.exe; Macromedia_Flash_5.0_Full.exe;
      Macromedia_Flash_5.0_ISO_Full.exe; Macromedia_Flash_5.0_ISO_Full.exe;
      Macromedia_Flash_5.0_Key_Generator.exe;
      Macromedia_Flash_5.0_Key_Generator.exe;
      Macromedia_Flash_5.0_Patch.exe;
      MSN_Password_Hacker_and_Stealer_Crack.exe;
      MSN_Password_Hacker_and_Stealer_Full.exe;
      MSN_Password_Hacker_and_Stealer_Full.exe;
      MSN_Password_Hacker_and_Stealer_ISO_Full.exe;
      MSN_Password_Hacker_and_Stealer_Key_Generator.exe;
      MSN_Password_Hacker_and_Stealer_Patch.exe; Windows_XP_Crack.exe;
      Windows_XP_Crack.exe; Windows_XP_Full.exe; Windows_XP_Full.exe;
      Windows_XP_ISO_Full.exe; Windows_XP_Key_Generator.exe;
      Windows_XP_Key_Generator.exe; Windows_XP_Patch.exe;
      ZoneAlarm_Firewall_Crack.exe; ZoneAlarm_Firewall_Full.exe;
      ZoneAlarm_Firewall_ISO_Full.exe; ZoneAlarm_Firewall_Patch.exe;
      ZoneAlarm_Firewall_Patch.exe

   Questi file sono copie del malware stesso.

“Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Exploit:
Sfrutta la seguente vulnerabilità:
– Mydoom backdoor (port 3127)

IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: 217.160.**********.243
Porta: 6659
Canale: #GhostBot
Nickname: %nome utente corrente%%molte cifre casuali%
Password: x-bot6659

– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Velocità della CPU
    • Utente corrente
    • Spazio libero su disco
    • Memoria libera
    • Informazioni sulla rete
    • Dimensione della memoria
    • Nome Utente

– In più ha la capacità di effettuare azioni quali:
    • Lanciare un attacco DdoS SYN
    • Download di file
    • Eseguire file
    • Terminare il processo
    • Terminare il processo

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Gherman su mercoledì 23 novembre 2005
Descrizione aggiornata da Andrei Gherman su giovedì 24 novembre 2005

Indietro . . . .