w32/gaobot.alv

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/gaobot.alv

w32.gaobot.alv

tipo: gusano
tama?o: 262,144 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.6 al 26/05/2004
w32/gaobot.alv, es un gusano residente en memoria, se difunde a trav?s de los recursos compartidos de la red, permite el acceso remoto y no permitido de un intruso a la computadora infectada a trav?s del irc.
este gusano tambi?n se aprovecha de las siguientes vulnerabilidades:
vulnerabilidad dcom rpc , descrito en el bolet?n de seguridad ms03-026 de microsoft. vulnerabilidad webdav vulnerability descrito en el bolet?n de seguridad ms03-007 de microsoft. vulnerabilidad buffer overrun in the workstation service descrito en el bolet?n de seguridad ms03-049 de microsoft. cuando el gusano se ejecuta se copia a si mismo como:
system \svchostt.exe
nota:
system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32)
adem?s modifica una entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
bot loader= system \svchostt.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
bot loader= system \svchostt.exe
el gusano difunde a trav?s de los siguientes recursos compartidos:
c
c$
d$
e$
print$
admin$
utilizando una relaci?n de usuarios y passwords para poder establecer comunicaci?n con dichas direcciones. si el gusano logra accesar se copiar? y ejecutar? a si mismo en el sistema atacado.
usuarios:
aaa abc admin admin administrador administrador administrat administrateur administrator administrator admins asdf computer convidado coordinatore database default dell gast guest home inviter kanri kanri-sha mary mgmt mysql oem ospite owner owner owner qwer root server standard student teacher temp test user user verwalter win wwwadmin xyz passwords:
000000 00000000 007 110 111 111111 11111111 121212 123 9 qwer 123abc 123asd 123qwe 2002 2600 54321 654321 88888888 abc abcd admin alpha asdfghjkl baby box changeme enable foobar god godblessyou homework ihavenopass internet kids leet login love metal mybaby mybox mypass mypc oracle pass passwd password password password pat patrick penis poiuytrewq porn private pussy pwd qwerty qwertyuiop red school secret secrets sex super superman supersecret sybase test vagina werty work xxx xxyyzz yxcv zxcv zxcvbnm el gusano intentar? establecer comunicaci?n con un determinado servidor irc, si logra conectarse queda a la espera de recibir ordenes remotas del atacante, las ordenes podr?an realizar las siguientes acciones:
enviar información de la computadora y de la red a su creador. ejecuta comandos. modificar el registro del sistema. finalizar servicios de windows. realizar ataques de inundaci?n http, icmp, syn y udp. finalizar procesos del sistema. recuperar direcciones de email guardadas en el computador. recuperar archivos via ftp y http. reiniciar el computador. examina el trafico http, ftp e irc. roba claves de cd de varios juegos, passwords del aol e id de productos windows. finalizar? todos los procesos activos de antivirus y aplicaciones de seguridad que encuentre en el computador atacado.


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo