w32/gaobot.aus

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/gaobot.aus

w32.gaobot.aus

tipo: gusano
tama?o: 55,296 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.6 al 29/06/2004
w32/gaobot.aus, es un gusano residente en memoria, se difunde a trav?s de los recursos compartidos de la red, permite el acceso remoto y no permitido de un intruso a la computadora infectada a trav?s del irc.
cuando el gusano se ejecuta se copia a si mismo como:
system \msnss.exe
system \msgfix.exe
nota:
system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32)
adem?s modifica una entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
configuration loader= system \msnss.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
configuration loader= system \msnss.exe
hkey_current_user\software\microsoft\windows\currentversion\run
configuration loader= system \msnss.exe
hkey_local_machine\software\microsoft\windows\currentversion\run
configuration loader= system \msgfix.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
configuration loader= system \msgfix.exe
hkey_current_user\software\microsoft\windows\currentversion\run
configuration loader= system \msgfix.exe
el gusano difunde a trav?s de los siguientes recursos compartidos:
c$
d$
ipc$
print$
admin$
utilizando una relaci?n de usuarios y passwords para poder establecer comunicaci?n con dichas direcciones. si el gusano logra accesar se copiar? y ejecutar? a si mismo en el sistema atacado.
seguidamente el gusano intentar? establecer comunicaci?n con un determinado servidor irc, si logra conectarse queda a la espera de recibir ordenes remotas del atacante, las ordenes podr?an realizar las siguientes acciones:
enviar información de la computadora y de la red a su creador. ejecuta comandos. modificar el registro del sistema. finalizar servicios de windows. finalizar procesos del sistema. recuperar direcciones de email guardadas en el computador. realizar ataques de denegaci?n de servicio (dos). busca computadores que esten infectados por el gusano w32/mydoom o alguna de sus variantes, si encuentra alguno, este utilizara el backdoor instalado del mydoom para copiarse a si mismo dentro del computador atacado como msgfix.exe
finalmente roba las claves de cd de los siguientes juegos:
command & conquer generals fifa 2003 need for speed hot pursuit 2 soldier of fortune ii - double helix neverwinter rainbow six iii ravenshield battlefield 1942 road to rome project igi 2 counter-strike unreal tournament 2003 half-life


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo