Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Gaobot.C. Gusano que recibe ordenes a través del IRC
 
VSantivirus No. 882 - Año 7 - Viernes 6 de diciembre de 2002

W32/Gaobot.C. Gusano que recibe ordenes a través del IRC
http://www.vsantivirus.com/gaobot-c.htm

Nombre: W32/Gaobot.C
Tipo: Gusano de Internet y caballo de Troya de acceso remoto
Alias: W32/Agobot.c, WORM_AGOBOT.C, W32/Gaobot.worm.j, Backdoor.Agobot.040, Backdoor:Win32/Agobot.0_40, Win32.Agobot.040.A
Fecha: 6/dic/02
Tamaño: 105,984 bytes (275,968 bytes)
Plataforma: Windows NT, 2000, XP

Este gusano es una variante del W32/Gaobot (ver http://www.vsantivirus.com/gaobot.htm ). Es un gusano de Internet, y al mismo tiempo posee características de caballo de Troya de acceso remoto.

Es capaz de propagarse a través de las redes Peer-To-Peer KaZaa, Grokster y Bearshare, usadas para el intercambio de archivos entre usuarios. También se propaga a otras unidades de disco en redes (solo en Windows NT, 2000 y XP).

El gusano permanece en memoria al ejecutarse, y puede comportarse como un BOT en un canal de IRC (copia de un usuario en un canal de chat, generado casi siempre por un programa, y preparado para responder ciertos comandos que se les envía en forma remota, de modo de lograr múltiples acciones coordinadas en forma simultánea, y sin nuestra intervención directa). De este modo puede ser usado para realizar ataques distribuidos de denegación de servicio (D.D.o.S).

La forma más común de arribar a nuestro PC es a través de un archivo descargado de alguna red de intercambio, como las mencionadas antes, con alguno de los siguientes nombres (todos con extensión .EXE):
  • [nombre] doing hardcore xxx
  • [nombre] getting it on with George W. Bush - XXX
  • [nombre] getting it on with Usama Bin Laden - XXX
  • [nombre] getting on with it! - XXX
  • [nombre] giving VERY good blowjob XXX
  • [nombre] in bed with some guy - XXX
  • [nombre] is very horny atm - XXX
  • [nombre] lesbian love - XXX
  • [nombre] nude fucking hardcore xxx huge boobs
  • [nombre] spreading VERY wide!! - XXX
  • [nombre] sucking dick - XXX
  • [nombre], very good pic (must download) - XXX
  • [nombre]'s webcam - cracked access - no cost - XXX
  • [nombre]'s webcam - view livecast - XXX
  • Anal Sex - [nombre] - XXX
  • Big Boobs Part II XXX - [nombre]
  • Big Tits XXX - [nombre]
  • buttfuckin [nombre] - XXX
  • Celebrity XXX - [nombre]
  • cum all over [nombre] - XXX
  • Free [nombre] celeb pics xxx playboy fuck port huge boobs nude hardcore - XXX
  • h4x [nombre]'s c0mput3r 4nd s3nd h3r 3m41l - mus7 d0wnl04d - 1337 h4x0r - XXX
  • Hardcore XXX - [nombre]
  • Huge Tits XXX - [nombre]
  • Instant access to [nombre]-picture download - XXX
  • oh my, horny [nombre] - XXX
  • Pictures of [nombre] - hot pics! - XXX
  • Sexy [nombre] nude pics xxx playboy porn pics
  • Spreading Wide XXX - [nombre]
  • Watch [nombre] sucking and fucking - XXX

Donde [nombre] puede ser cualquiera de los siguientes:

  • Alessandra Ambrosia
  • Amanda Peet
  • Anna Kournikova
  • Ashley Judd
  • Belinda Chapple
  • Britney Spears
  • Cameron Diaz
  • Carmen Electra
  • Chandra North
  • Charlize Theron
  • Christina Aguilera
  • Donna D'Erico
  • Emma Sjoberg
  • Gillian Anderson
  • Halle Berry
  • Helena Christensen
  • Jessica Alba
  • Jolene Blalock
  • Karina Lombard
  • Kate Moss
  • Katie Price
  • Kelly Hu
  • Kirsten Dunst
  • Kylie Bax
  • Kylie Minogue
  • Lexa Doig
  • Michelle Behennah
  • Pamela Anderson
  • Salma Hayek
  • Samantha Mumba
  • Sandra Bullock
  • Shakira
  • Stacey Keibler

También puede ser uno de estos archivos:

  • [nombre] - ADSL Playfix
  • [nombre] - Autotuning (for Newbies)
  • [nombre] - Cable Modem Playfix
  • [nombre] - CD Key Generator
  • [nombre] - Character Cheat
  • [nombre] - Crack all versions
  • [nombre] - Game Trainer
  • [nombre] - Idem Duplicator
  • [nombre] - Internet Play Fix
  • [nombre] - Item Hack
  • [nombre] - Map Hack
  • [nombre] - Multiplayer Cheat
  • [nombre] - Newest Patch
  • [nombre] - NOCD Patch
  • [nombre] - Tweaking utility
  • [nombre] - Unlimited Healt Trainer
  • [nombre] - Unlock Everything Trainer
  • [nombre] 3D Setup
  • [nombre] crack (all versions)
  • [nombre] newest version crack

También seguido de la extensión .EXE y donde [nombre] es uno de estos:

  • Action Man Destruction X
  • AFL Live 2003
  • Asswipe
  • Bandits - Phoenix Rising
  • BANDITS Phoenix Rising
  • Battlefield 1942
  • Blue's Clues Preschool
  • Bongo Boogie
  • Brixout XP
  • Combat Mission 2
  • Conflict Desert Storm
  • CUT2003
  • Deep Fritz 7
  • Delta Force Black Hawk Down
  • Diablo
  • Diablo 2
  • Divine Divinity
  • Dogs Playing Poker
  • Duke Nukem Forever
  • Earth 2150 Lost Souls
  • Emperor
  • Emperor Rise of the Middle Kingdom
  • Empire Earth Art of Qonquest
  • Exodus Action
  • Fartknocker
  • Frontline Attack War over Europe
  • Ganja Farmer 2
  • Halloween
  • High Grow
  • Hoyle Card Games 2003
  • HOYLE PUZZLE GAMES 2003
  • Hyper Rails
  • Iron Storm
  • Iron Storm Action
  • Jedi Knight 2
  • Jeopardy! 2003
  • Jurassic Park Dinosaur Battles
  • Kango Shicyauzo
  • Kickoff 2002
  • Law and Order Dead on the Money
  • Links 2003
  • Links 2003 Championship Courses
  • Madden NFL 2003
  • Maximum G-Force Coasters
  • Midnight Outlaw Street Racing
  • NHL 2003
  • No One Lives Forever 2
  • NOLF2
  • ParaShooter
  • Pox Puzzle
  • Prisoner Of War
  • Pro Soccer Cup 2002
  • Project Nomads
  • Puzzles battles of the history
  • Quake 1
  • Quake 2
  • Quake 3
  • Reel Deal Slots Volume II
  • Scarlet Waves
  • Shattered Galaxy
  • Sniper Path of Vengeance
  • Snow Drop
  • Squad Battles Eagles Strike
  • Star Wraith 3
  • Starcraft
  • Starshatter v3
  • Stronghold Crusader
  • Taz Wanted
  • The Gates
  • The Sims Unleashed
  • Total Club Manager 2003
  • Ultimate Pinball
  • Ultimate Ride Disney Coaster
  • Unreal Tournament 2003
  • Us Open 2002
  • Virtual Resort
  • Virtual Resort Spring Break
  • Virtual Sailor
  • Virtual Skipper 2
  • Warcraft
  • Warcraft 2
  • Warcraft 3
  • World War II
  • X-Plane
  • Zelenhgorm The Great Ship

Por ejemplo, puede tener nombres como estos:

  • Kylie Minogue is very horny atm - XXX.exe
  • Cameron Diaz's webcam - cracked access - no cost - XXX.exe
  • Hoyle Card Games 2003 crack (all versions).exe
  • Warcraft 3 - Cable Modem Playfix.exe
  • Delta Force Black Hawk Down - Item Hack.exe

Para autoejecutarse en cada reinicio de windows, el gusano crea las siguientes entradas en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Config Loader = SYSMGR.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Config Loader = SYSMGR.EXE

También crea estas entradas adicionales:

HKLM\Software\MSSQLServer\Client\ConnectTo
DSQUERY = "DBNETLIB"

HKLM\Software\MSSQLServer\Client\SuperSocketNetLib
ProtocolOrder = tcp

HKLM\Software\Microsoft\MSSQLServer\Client\ConnectTo
DSQUERY = "DBNETLIB"

HKLM\Software\Microsoft\MSSQLServer\Client\SuperSocketNetLib
ProtocolOrder = tcp

Para propagarse a través de una red, primero intenta compartir el path de la unidad de disco donde está instalado (por defecto el directorio "System" de Windows). Para realizar esto, utiliza el comando NET, ejecutándolo en una consola de comandos en segundo plano. Luego comienza a enumerar cada una de las unidades con recursos compartidos. Si bien el comando NET también está presente en Windows 9x y Me, la línea de ordenes usada solo soporta las versiones NT, 2000 y XP de Windows.

Nota: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

Cada vez que utiliza una unidad de disco compartida, el gusano libera una copia de si mismo con el nombre CDKGRAB.EXE en el directorio raíz de esa unidad. Luego, descarga un programa legítimo (no es un troyano), llamado PSEXEC.EXE, que utiliza para ejecutar en forma remota dicha copia en el sistema remoto, infectándolo.

Como la variante original del gusano, esta versión está preparada para propagarse a través de KaZaa, Grokster y Bearshare, si alguna de estas aplicaciones está instalada en el sistema infectado. Para ello, modifica la configuración en el registro de estos programas a los efectos de compartir los archivos, que son el propio gusano, y cuyos nombres mencionamos antes.

La capacidad del tipo "backdoor" (acceso remoto en forma clandestina), que posee el virus, habilita a un usuario remoto a lanzar ataques distribuidos de denegación de servicio, a otros usuarios.

Cada cierto tiempo, además, intenta conectarse a un servidor IRC por el puerto 9900 para notificar a un usuario remoto que el sistema infectado está activo, dándole a este la dirección IP de la máquina infectada y otra información del sistema, como los números de registro de populares aplicaciones y juegos que pudieran estar instaladas. Estos datos son tomados del registro.

También puede enviar cualquiera de los datos de esta lista:

  1. Confirmación de copias hechas en KaZaa, Grokster o Bearshare
  2. Confirmación de la existencia de CD Key’s (claves de registro)
  3. Información del estado de la bandeja del CD (abierta o cerrada)
  4. Información del estado actual del gusano (si se ha propagado, si se ha copiado al KaZaa, etc.

El gusano intentará continuamente conectarse a un servidor de IRC usando un nickname y contraseña previstos en su código, hasta que obtenga éxito.

Luego de la conexión, realizará el resto de sus rutinas.

El gusano posee además, la posibilidad de descargar de Internet una actualización de él mismo. Esta característica puede hacer que evolucione hacia nuevas versiones con otras características.


Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Deshabilitar las carpetas compartidas de KaZaa

Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.

Para ello, proceda así:

1. Ejecute KaZaa.

2. Seleccione en la barra del menú la opción: "Tools" > "Options".

3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".

4. Pinche en "Aceptar", etc.


Deshabilitar las carpetas compartidas en BearShare

1. Ejecute BearShare.

2. Seleccione "Options" del menú "Setup".

3. Seleccione la lengüeta "Sharing"

4. Seleccione todo lo que estuviera en la ventana bajo el título "Share the files in these directories and their sub-directories:" y pinche en "Remove"

5. Pinche en "Aceptar", etc.


Deshabilitar las carpetas compartidas en Grokster

1. Ejecute Grokster.

2. Seleccione "Tools" > "Find Media to Share" > "Folder List".

3. Pinche en el botón "DeSelect All".

4. Pinche en "Aceptar", etc.


Reparación manual

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir cada una de las siguientes ramas:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

3. Pinche alternativamente en las carpetas "RunServices" y "Run", y en cada caso, en el panel de la derecha busque y borre la siguiente entrada:

Config Loader

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir cada una de las siguientes ramas:

HKEY_LOCAL_MACHINE\Software
HKEY_LOCAL_MACHINE\Software\Microsoft

5. Pinche alternativamente en las carpetas "Software" y "Microsoft", y en cada caso, en el mismo panel borre la siguiente carpeta (bajo "Software" y bajo "Microsoft"):

MSSQLServer

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS