w32/gaobot.fb

Imagen biografía
Categoría: Troyanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/gaobot.fb

w32.hllw.gaobot.fb , backdoor.agobot.3.gen

tipo: gusano, troyano
tama?o: 65,024 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.6 al 05/01/2004
w32/gaobot.fb, es un gusano que se difunde a trav?s de los recursos compartidos de la red, permite el acceso remoto y no permitido de un intruso a la computadora infectada a trav?s del irc. el gusano esta comprimido con aspack.
este gusano tambi?n se aprovecha de las siguientes vulnerabilidades:
vulnerabilidad dcom rpc , descrito en el bolet?n de seguridad ms03-026 de microsoft. vulnerabilidad webdav vulnerability descrito en el bolet?n de seguridad ms03-007 de microsoft. vulnerabilidad rpc locator vulnerability descrito en el bolet?n de seguridad ms03-001 de microsoft. cuando el gusano se ejecuta se copia a si mismo como:
system \wsys32.exe
nota:
system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32)
adem?s modifica una entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
windows configuration= system \wsys32.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
windows configuration= system \wsys32.exe
tambi?n crea la siguiente entrada en el registro:
hkey_local_machine\system\currentcontrolset\services\a4
seguidamente el gusano generar? aleatoriamente un rango de direcciones ip e intentar? conectarse a dichas direcciones, adem?s intentar? accesar a los siguientes recursos compartidos en el computador atacado.
admin$ c$ d$ e$ print$
utiliza una relaci?n de usuarios y passwords, como tambi?n los usuarios encontrados en el api netuserenum(), para poder establecer comunicaci?n con dichas direcciones. si el gusano logra accesar se copiar? y ejecutar? a si mismo en el sistema atacado.
usuarios:
student teacher database mysql owner computer admins mary owner wwwadmin root oem qwer asdf win temp home dell xyz abc aaa inviter gast guest test server user owner administrador administrat user standard mgmt convidado default administrator admin kanri-sha kanri ospite verwalter administrador coordinatore administrateur passwords:
pw mypass mypc love pwd poiuytrewq zxcvbnm admin qwerty red password abc qwertyuiop secrets homework porn baby werty box mybox school work metal leet pussy vagina mybaby asdfghjkl xxyyzz private test changeme penis kids supersecret superman login xxx zxcv yxcv secret foobar god sex pat patrick alpha 007 123abc qwer 123 121212 111111 110 2600 2002 enable godblessyou ihavenopass 123asd super internet 123qwe sybase oracle abcd passwd pass 88888888 11111111 00000000 000000 111 54321 654321 9 password password admin
el gusano intentar? establecer comunicaci?n con un determinado servidor irc, si logra conectarse queda a la espera de recibir ordenes remotas del atacante, las ordenes podr?an realizar las siguientes acciones:
enviar informaci?n de la computadora atacada. manipular los archivos del sistema descargar y ejecutar archivos. cambiar el servidor irc predeterminado. unirse a un canal de chat irc. actualizar el archivo del gusano. ejecutar comandos en el sistema. act?a como servidor proxy y realiza ataques de denegaci?n de servicio (dos) a direcciones ip generadas aleatoriamente .
tambi?n realiza ataques de inundaci?n (icmp, udp, syn y http) a direcciones determinadas.
finalizar? los siguientes procesos activos que encuentre en el computador atacado:
zonealarm.exe zapro.exe vsmon.exe vshwin32.exe vbcmserv.exe sbserv.exe rtvscan.exe rapapp.exe pcscan.exe pccwin97.exe pccntmon.exe pavproxy.exe nvsvc32.exe ntrtscan.exe npscheck.exe notstart.exe lockdown2000.exe iamserv.exe iamapp.exe gbpoll.exe gbmenu.exe fsmb32.exe fsma32.exe fsm32.exe fsgk32.exe fsav32.exe fsaa.exe fnrb32.exe fih32.exe fch32.exe fameh32.exe f-stopw.exe defscangui.exe defalert.exe cpd.exe cleaner3.exe cleaner.exe ccpxysvc.exe ccevtmgr.exe ccapp.exe blackd.exe avpm.exe avkwctl9.exe avkservice.exe avkpop.exe apvxdwin.exe agentw.exe _avpm.exe _avpcc.exe _avp32.exe zonealarm.exe zonalm2601.exe zauinst.exe zatutor.exe zapsetup3001.exe zapro.exe xpf202en.exe wrctrl.exe wradmin.exe wyvernworksfirewall.exe wsbgate.exe wrctrl.exe wradmin.exe wnt.exe winrecon.exe wimmun32.exe whoswatchingme.exe wgfe95.exe wfindv32.exe webtrap.exe webscanx.exe watchdog.exe w9x.exe w32dsm89.exe vettray.exe vet95.exe vbcons.exe vswinperse.exe vswinntse.exe vswin9xe.exe vsstat.exe vsmon.exe vsmain.exe vsisetup.exe vsecomr.exe vsched.exe vscenu6.02d30.exe vscan40.exe vptray.exe vpfw30s.exe vpc42.exe vpc32.exe vnpc3000.exe vnlan300.exe virusmdpersonalfirewall.exe vir-help.exe vfsetup.exe vettray.exe vet95.exe vet32.exe vcsetup.exe vbwinntw.exe vbwin9x.exe vbust.exe vbcons.exe vbcmserv.exe update.exe undoboot.exe trojantrap3.exe trjsetup.exe trjscan.exe tracert.exe titaninxp.exe titanin.exe tgbob.exe tfak5.exe tfak.exe tds2-nt.exe tds2-98.exe tds-3.exe tcm.exe tca.exe tc.exe tbscan.exe taumon.exe taskmon.exe symproxysvc.exe sweepnet.sweepsrv.sys.swnetsup.exe sphinx.exe sysedit.exe symtray.exe symproxysvc.exe sweep95.exe supporter5.exe supftrl.exe st2.exe ss3edit.exe spyxx.exe sphinx.exe spf.exe sofi.exe smc.exe shn.exe shellspyinstall.exe sh.exe sgssfw32.exe sfc.exe setup_flowprotector_us.exe setupvameeval.exe serv95.exe sd.exe scrscan.exe scanpm.exe scan95.exe scan32.exe sbserv.exe safeweb.exe rulaunch.exe rtvscn95.exe rshell.exe rrguard.exe rescue32.exe rescue.exe regedt32.exe regedit.exe realmon.exe rav8win32eng.exe rav7win.exe rav7.exe qserver.exe qconsole.exe pview95.exe purge.exe pspf.exe protectx.exe proport.exe programauditor.exe procexplorerv1.0.exe processmonitor.exe ppvstop.exe pptbc.exe ppinupdt.exe portmonitor.exe portdetective.exe popscan.exe poproxy.exe pop3trap.exe platin.exe pingscan.exe pfwadmin.exe pf2.exe perswf.exe persfw.exe periscope.exe pdsetup.exe pcip10117_0.exe pcfwallicon.exe pcdsetup.exe pccwin98.exe pcciomon.exe pcc2k_76_1436.exe pcc2002s902.exe pavw.exe pavsched.exe pavproxy.exe pavcl.exe panixk.exe padmin.exe outpostproinstall.exe outpostinstall.exe outpost.exe ostronet.exe nupgrade.exe nui.exe neowatchlog.exe navw32.exe nwtool16.exe nwservice.exe nwinst4.exe nvc95.exe nvarch16.exe ntxconfig.exe ntvdm.exe nsched32.exe npssvc.exe nprotect.exe npfmessenger.exe npf40_tw_98_nt_me_2k.exe norton_internet_secu_3.0_407.exe normist.exe nod32.exe nmain.exe nisum.exe nisserv.exe netutils.exe netstat.exe netspyhunter-1.2.exe netscanpro.exe netmon.exe netinfo.exe netarmor.exe neomonitor.exe ndd32.exe ncinst4.exe nc2000.exe navwnt.exe navw32.exe navstub.exe navnt.exe navlu32.exe navengnavex15.navlu32.exe navdx.exe navapw32.exe navapsvc.exe navap.navapsvc.exe nav auto-protect.nav80try.exe n32scanw.exe monitor.exe mcshield.exe mwatch.exe mu0311ad.exe mssmmc32.exe msinfo32.exe msconfig.exe mrflux.exe mpftray.exe mpfservice.exe mpfagent.exe moolive.exe monitor.exe minilog.exe mgui.exe mghtml.exe mgavrte.exe mgavrtcl.exe mfweng3.02d30.exe mfw2en.exe mcvsshld.exe mcvsrte.exe mcupdate.exe mctool.exe mcmnhdlr.exe mcagent.exe luspt.exe luinit.exe lucomserver.exe luau.exe luall.exe lsetup.exe lookout.exe lockdown2000.exe lockdown.exe localnet.exe ldscan.exe ldpromenu.exe ldpro.exe ldnetmon.exe killprocesssetup161.exe kerio-wrp-421-en-win.exe kerio-wrl-421-en-win.exe kerio-pf-213-en-win.exe kavpf.exe kavpers40eng.exe kavlite40eng.exe jedi.exe jammer.exe isrv95.exe iris.exe iparmor.exe iomon98.exe ifw2000.exe iface.exe icsuppnt.exe icsupp95.exe icmon.exe icloadnt.exe icload95.exe ibmavsp.exe ibmasn.exe iamstats.exe iamserv.exe iamapp.exe hwpe.exe htlog.exe hacktracersetup.exe guarddog.exe guard.exe generics.exe gbpoll.exe gbmenu.exe fsav95.exe fsav530wtbyb.exe fsav530stbyb.exe fsav.exe frw.exe fprot.exe fp-win_trial.exe fp-win.exe flowprotector.exe firewall.exe findviru.exe fast.exe f-stopw.exe f-prot95.exe f-prot.exe f-agnt95.exe expert.exe exe.avxw.exe exantivirus-cnet.exe evpn.exe etrustcipe.exe espwatch.exe escanv95.exe escanhnt.exe escanh95.exe esafe.exe ent.exe efpeadm.exe ecengine.exe dvp95_0.exe dvp95.exe drweb32.exe drwatson.exe dpfsetup.exe dpf.exe doors.exe deputy.exe defwatch.exe claw95cf.exe claw95.exe cwntdwmo.exe cwnb181.exe cv.exe ctrl.exe cpfnt206.exe cpf9x206.exe cpd.exe connectionmonitor.exe cmon016.exe cmgrdian.exe cleanpc.exe cleaner3.exe cleaner.exe clean.exe claw95cf.exe cfinet32.exe cfinet.exe cfiaudit.exe cfiadmin.exe cfgwiz.exe cdp.exe blackice.exe bs120.exe borg2.exe bootwarn.exe blackice.exe blackd.exe bisp.exe bipcpevalsetup.exe bipcp.exe bidserver.exe bidef.exe bd_professional.exe avsched32.exe avkserv.exe avgctrl.exe avgserv.exe avsynmgr.avsynmgr.exe autotrace.exe ackwin32.exe avxquar.exe avxmonitornt.exe avxmonitor9x.exe avwupsrv.exe avwupd32.exe avwinnt.exe avwin95.exe avpupd.exe avptc32.exe avpm.exe avpdos32.exe avpcc.exe avp32.exe avp.exe avnt.exe avgw.exe avguard.exe avgserv9.exe avgserv.exe avgnt.exe avgctrl.exe avgcc32.exe ave32.exe avconsol.exe autoupdate.exe autodown.exe aupdate.exe atwatch.exe atupdater.exe atro55en.exe atguard.exe atcon.exe apvxdwin.exe aplica32.exe apimonitor.exe ants.exe antivirus.exe anti-trojan.exe amon9x.exe alogserv.exe alertsvc.exe agentsvr.exe advxdwin.exe ackwin32.exe tambi?n intentar? finalizar los siguientes procesos de otros gusanos:
winhlpp32.exe tftpd.exe dllhost.exe winppr32.exe mspatch.exe penis32.exe msblast.exe finalmente el gusano intentar? robar las claves de cd de los siguientes juegos:
soldier of fortune ii - double helix neverwinter westwood\nox tiberian sun red alert 2 red alert project igi 2 command & conquer generals battlefield 1942 secret weapons of wwii battlefield 1942 the road to rome battlefield 1942 rainbow six iii ravenshield nascar racing 2003 nascar racing 2002 nhl 2003 nhl 2002 fifa 2003 fifa 2002 need for speed hot pursuit 2 the gladiators unreal tournament 2003 legends of might and magic counter-strike half-life


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo