Full description

Vírus	Worm/Gobot.S
Data em que surgiu:	22/11/2005
Tipo:	Worm
Incluído na lista "In The Wild"	Sim
Nível de danos:	Baixo
Nível de distribuição:	De médio a elevado
Nível de risco:	Médio
Ficheiro estático:	Não
Tamanho:	~41.200 Bytes
Versão VDF:	6.26.00.56

Vulgarmente Meios de transmissão:
   • Rede local
   • Peer to Peer

Alias:
   • Kaspersky: Backdoor.Win32.Gobot.s
   • TrendMicro: WORM_GOBOT.S
   • F-Secure: W32/Agobot.AVU
   • Sophos: W32/Gobot-C
   • Bitdefender: Backdoor.Gabot.A

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para a seguinte localização:
• %WINDIR%\%uma série de caracteres aleatórios%.exe

É criado o seguinte ficheiro:

– %WINDIR%\setup.txt O ficheiro contém informação das teclas pressionadas.

Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • AVPCC = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • NPROTECT = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • SMC = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • NETUTILS = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • NTXCONFIG = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • LDNETMON = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • CONNECTIONMONITOR = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • NVSVC32 = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • AVSYNMGR = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • ERICS = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • NAVENGNAVEX15 = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • NAV AUTO-PROTECT = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • CPDCLNT = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • MPFSERVICE = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • MPFTRAY = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • PORTMONITOR = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • CPDCLNT = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • VSHWIN32 = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • VSECOMR = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • WEBSCANX = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • TCMON = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • ALOGSERV = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • CMGRDIAN = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • RULAUNCH = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • DVP95 = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • PROCESSMONITOR = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • FRW = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • NAVAP = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • NAVAPW32 = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • DEFWATCH = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • GENERICS = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • NAVAPSVC = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • NTVDM = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • NAVWNT = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • NAVLU32 = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • LUALL = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • SWNETSUP = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • ICLOAD95 = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • TDS-3 = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • ICMON = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • ICSUPP95 = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • IFACE = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • ADVXDWIN = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • PADMIN = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • RAV7WIN = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • WATCHDOG = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • MINILOG = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • P-WIN = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • NDD32 = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • FNRB32 = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • NMAIN = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • IAMSERV = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • NPSCHECK = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • AGENTW = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • PERSFW = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • PERSWF = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • LOCKDOWN = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • SPYXX = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • WEBTRAP = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • ATCON = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • NPROTECT = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • WGFE95 = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • ZONEALARM = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • VSMON = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • AVKSERV = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • MPFAGENT = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • MPFSERVICE = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • MPFTRAY = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • PORTMONITOR = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • VSHWIN32 = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • WEBSCANX = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • VSSTAT = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • PCCWIN98 = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • ATUPDATE = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • AVCONSOL = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • NSCHED32 = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • KAVDOS32 = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • ESPWATCH = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • NEOWATCHLOG = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • AUTOTRACE = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • AUTODOWN = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • VETTRAY = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • SAFEWEB = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • VSCAN40 = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • CFIADMIN = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • LUCOMSERVE = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • RVE = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • TFAK = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • VBCMSERV = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • NWTOOL16 = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • AVP32 = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • ANTI-TROJAN = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • NWSERVICE = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • CTRL = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • NAVNT = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • AVXMONITORNT = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • AVPDOS32 = %WINDIR%\%uma série de caracteres aleatórios%.exe
   • AVPTC32 = %WINDIR%\%uma série de caracteres aleatórios%.exe

P2P De modo a infectar sistemas na comunidade P2P executa a seguinte acção:

–   Obtém a pasta partilhada examinando as seguintes chaves de registo:
   • HKCU\Software\Kazaa\localcontent
   • HKCU\Software\Limewire
   • HKCU\Software\Shareaza
   • HKCU\Software\Morpheus
   • HKCU\Software\Xolox
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\edonkey2000

   Em caso de ser bem sucedido, são criados os seguintes ficheiros:
   • AIM_Account_Stealer_Crack.exe; AIM_Account_Stealer_Crack.exe;
      AIM_Account_Stealer_Full.exe; AIM_Account_Stealer_Full.exe;
      AIM_Account_Stealer_ISO_Full.exe;
      AIM_Account_Stealer_Key_Generator.exe; AIM_Account_Stealer_Patch.exe;
      AIM_Account_Stealer_Patch.exe; Cat_Attacks_Child_Crack.exe;
      Cat_Attacks_Child_Full.exe; Cat_Attacks_Child_ISO_Full.exe;
      Cat_Attacks_Child_ISO_Full.exe; Cat_Attacks_Child_Key_Generator.exe;
      Cat_Attacks_Child_Key_Generator.exe; Cat_Attacks_Child_Patch.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Crack.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Full.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_ISO_Full.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Key_Generator.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe;
      DSL_Modem_Uncapper_Crack.exe; DSL_Modem_Uncapper_Crack.exe;
      DSL_Modem_Uncapper_Full.exe; DSL_Modem_Uncapper_Full.exe;
      DSL_Modem_Uncapper_ISO_Full.exe; DSL_Modem_Uncapper_ISO_Full.exe;
      DSL_Modem_Uncapper_Key_Generator.exe; DSL_Modem_Uncapper_Patch.exe;
      Hacking_Tool_Collection_Crack.exe; Hacking_Tool_Collection_Crack.exe;
      Hacking_Tool_Collection_Full.exe;
      Hacking_Tool_Collection_ISO_Full.exe;
      Hacking_Tool_Collection_Key_Generator.exe;
      Hacking_Tool_Collection_Patch.exe; Hacking_Tool_Collection_Patch.exe;
      Internet_and_Computer_Speed_Booster_Crack.exe;
      Internet_and_Computer_Speed_Booster_Crack.exe;
      Internet_and_Computer_Speed_Booster_Full.exe;
      Internet_and_Computer_Speed_Booster_ISO_Full.exe;
      Internet_and_Computer_Speed_Booster_Key_Generator.exe;
      Internet_and_Computer_Speed_Booster_Patch.exe;
      Macromedia_Flash_5.0_Crack.exe; Macromedia_Flash_5.0_Full.exe;
      Macromedia_Flash_5.0_ISO_Full.exe; Macromedia_Flash_5.0_ISO_Full.exe;
      Macromedia_Flash_5.0_Key_Generator.exe;
      Macromedia_Flash_5.0_Key_Generator.exe;
      Macromedia_Flash_5.0_Patch.exe;
      MSN_Password_Hacker_and_Stealer_Crack.exe;
      MSN_Password_Hacker_and_Stealer_Full.exe;
      MSN_Password_Hacker_and_Stealer_Full.exe;
      MSN_Password_Hacker_and_Stealer_ISO_Full.exe;
      MSN_Password_Hacker_and_Stealer_Key_Generator.exe;
      MSN_Password_Hacker_and_Stealer_Patch.exe; Windows_XP_Crack.exe;
      Windows_XP_Crack.exe; Windows_XP_Full.exe; Windows_XP_Full.exe;
      Windows_XP_ISO_Full.exe; Windows_XP_Key_Generator.exe;
      Windows_XP_Key_Generator.exe; Windows_XP_Patch.exe;
      ZoneAlarm_Firewall_Crack.exe; ZoneAlarm_Firewall_Full.exe;
      ZoneAlarm_Firewall_ISO_Full.exe; ZoneAlarm_Firewall_Patch.exe;
      ZoneAlarm_Firewall_Patch.exe

   Os ficheiros são cópias do próprio malware.

Infecção da rede Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Exploit:
Faz uso do seguinte Exploit:
– Mydoom backdoor (port 3127)

IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: 217.160.**********.243
Porta: 6659
Canal #GhostBot
Nickname: %nome do utilizador actual%%vários dígitos aleatórios%
Palavra-chave x-bot6659

– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Velocidade do CPU
    • Utilizador Actual
    • Espaço disponível no disco
    • Memória disponível
    • Informações sobre a rede
    • Capacidade da memória
    • Nome de utilizador

– Para além disso tem a capacidade de executar as seguintes acções:
    • Lança DDoS SYN floods
    • Download de ficheiros
    • Executa o ficheiro
    • Termina processos
    • Termina processos

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Andrei Gherman em quarta-feira, 23 de novembro de 2005
Descrição atualizada por Andrei Gherman em quinta-feira, 24 de novembro de 2005

Voltar . . . .