w32/gaobot.fq

Imagen biografía
Categoría: Troyanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/gaobot.fq

w32.hllw.gaobot.fq, w32/gaobot.worm.gw
tipo: gusano, troyano
tama?o: 255,488 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación:
the hacker 5.6 al 13/01/2004
descripción:
w32/gaobot.fq, es un gusano que se difunde a trav?s de los recursos compartidos de la red, permite el acceso remoto y no permitido de un intruso a la computadora infectada a trav?s del irc. el gusano esta comprimido con upx y encriptado con pcguard.
este gusano tambi?n se aprovecha de las siguientes vulnerabilidades:
vulnerabilidad dcom rpc , descrito en el bolet?n de seguridad ms03-026 de microsoft, utiliza el puerto 135. vulnerabilidad webdav vulnerability descrito en el bolet?n de seguridad ms03-007 de microsoft, utiliza el puerto 80. vulnerabilidad rpc locator vulnerability descrito en el bolet?n de seguridad ms03-001 de microsoft, utiliza el puerto 445. cuando el gusano se ejecuta se copia a si mismo como:
system \sysinfo.exe
system \winhlpp32.exe
nota:
system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32)
adem?s modifica una entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
configuration loader= system \sysinfo.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
configuration loader= system \sysinfo.exe
seguidamente el gusano generar? aleatoriamente un rango de direcciones ip e intentar? conectarse a dichas direcciones, adem?s intentar? accesar a los siguientes recursos compartidos en el computador atacado.
admin$ c$ d$ e$ print$
utiliza una relaci?n de usuarios y passwords, como tambi?n los usuarios encontrados con en el netuserenum(), para poder establecer comunicaci?n con dichas direcciones. si el gusano logra accesar se copiar? y ejecutar? a si mismo en el sistema atacado.
usuarios:
a aaa abc admin administrador administrateur administrator administrator asdf convidado coordinatore default dell gast guest home inviter login mgmt ospite owner pc qwer standard temp test test user win x xyz
passwords:
admin password password 1 12 9 654321 54321 111 000000 00000000 11111111 88888888 pass passwd database abcd oracle sybase 123qwe server computer internet super 123asd ihavenopass godblessyou enable xp 2002 2003 2600 0 110 111111 121212 123 qwer 123abc 007 alpha patrick pat administrator root sex god foobar a aaa abc test temp win pc asdf secret qwer yxcv zxcv home xxx owner login login pwd pass lovemypc mypass pw
el gusano intentar? establecer comunicaci?n con un determinado servidor irc, si logra conectarse queda a la espera de recibir ordenes remotas del atacante, las ordenes podr?an realizar las siguientes acciones:
enviar informaci?n de la computadora atacada. manipular los archivos del sistema descargar y ejecutar archivos. cambiar el servidor irc predeterminado. unirse a un canal de chat irc. actualizar el archivo del gusano. adicionar nuevas cuentas act?a como servidor proxy y realiza ataques de denegaci?n de servicio (dos) a direcciones ip generadas aleatoriamente.
finalizar? los siguientes procesos activos que encuentre en el computador atacado:
zonealarm.exe wfindv32.exe webscanx.exe vsstat.exe vshwin32.exe vsecomr.exe vscan40.exe vettray.exe vet95.exe tds2-nt.exe tds2-98.exe tca.exe tbscan.exe sweep95.exe sphinx.exe smc.exe serv95.exe scrscan.exe scanpm.exe scan95.exe scan32.exe safeweb.exe rescue.exe rav7win.exe rav7.exe persfw.exe pcfwallicon.exe pccwin98.exe pavw.exe pavsched.exe pavcl.exe padmin.exe outpost.exe nvc95.exe nupgrade.exe normist.exe nmain.exe nisum.exe navwnt.exe navw32.exe navnt.exe navlu32.exe navapw32.exe n32scanw.exe mpftray.exe moolive.exe luall.exe lookout.exe lockdown2000.exe jedi.exe iomon98.exe iface.exe icsuppnt.exe icsupp95.exe icmon.exe icloadnt.exe icload95.exe ibmavsp.exe ibmasn.exe iamserv.exe iamapp.exe frw.exe fprot.exe fp-win.exe findviru.exe f-stopw.exe f-prot95.exe f-prot.exe f-agnt95.exe espwatch.exe esafe.exe ecengine.exe dvp95_0.exe dvp95.exe cleaner3.exe cleaner.exe claw95cf.exe claw95.exe cfinet32.exe cfinet.exe cfiaudit.exe cfiadmin.exe blackice.exe blackd.exe avwupd32.exe avwin95.exe avsched32.exe avpupd.exe avptc32.exe avpm.exe avpdos32.exe avpcc.exe avp32.exe avp.exe avnt.exe avkserv.exe avgctrl.exe ave32.exe avconsol.exe autodown.exe apvxdwin.exe anti-trojan.exe ackwin32.exe _avpm.exe _avpcc.exe _avp32.exe tambi?n intentar? finalizar los siguientes procesos de otros gusanos:
winhlpp32.exe tftpd.exe dllhost.exe winppr32.exe mspatch.exe penis32.exe msblast.exe finalmente el gusano intentar? robar las claves de cd y los identificadores del producto de los siguientes programas:
windows product id hidden and dangerous 2 chrome soldier of fortune ii neverwinter nights nox tiberian sun red alert 2 red alert project igi 2 command & conquer generals battlefield 1942 secret weapons of wwii battlefield 1942 the road to rome battlefield 1942 rainbow six iii ravenshield nascar racing 2003 nascar racing 2002 nhl 2003 nhl 2002 fifa 2003 fifa 2002 need for speed hot pursuit 2 the gladiators unreal tournament 2003 legends of might and magic counter-strike half-life


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo