|
VSantivirus No. 841 - Año 6 - Sábado 26 de octubre de 2002
W32/Gaobot. Gusano que recibe ordenes a través del IRC
http://www.vsantivirus.com/gaobot.htm
Nombre: W32/Gaobot
Tipo: Gusano de Internet y caballo de Troya de acceso remoto
Alias: W32.HLLW.Gaobot, W32/Gaobot.worm, WORM_AGOBOT.A
Fecha: 22/oct/02
Tamaño: 111,616 bytes
Plataforma: Windows 32-bits
Puertos: 9900, 6667 y 445 por defecto
Fuente: Symantec
Este gusano se copia a si mismo en el directorio System de Windows:
C:\Windows\System\sysldr32.exe
'C:\Windows\System' puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).
El gusano se conecta entonces a un servidor IRC y queda a la espera de comandos. Por defecto, se conecta a los
puertos 6667 y 9900. Algunos de los comandos soportados son para su propagación a través de redes Peer-To-Peer como KaZaa, Bearshare, y Grokster.
El gusano se comparte a otros usuarios de estos programas, con algunos nombres como estos:
- Kylie Minogue is very horny atm - XXX.exe
- Cameron Diaz's webcam - cracked access - no cost - XXX.exe
- Hoyle Card Games 2003 crack (all versions).exe
- Warcraft 3 - Cable Modem Playfix.exe
- Delta Force Black Hawk Down - Item Hack.exe
El gusano también intenta propagarse a todas las computadoras de una red, usando una utilidad que lo conecta al
puerto 445, copiando el archivo "woinggg.exe" en toda la red, para luego ejecutarlo.
Una de sus características es la de degradar el rendimiento de la red debido a su constante intento de copiarse a través de ella.
También permite el acceso no autorizado de un atacante, con los consiguientes riesgos de seguridad.
Cuando se ejecuta por primera vez, además de copiarse como "C:\Windows\System\sysldr32.exe", el gusano agrega el mismo valor a las siguientes ramas del registro, para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Config Loader = C:\Windows\System\sysldr32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Config Loader = C:\Windows\System\sysldr32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Config Loader = C:\Windows\System\sysldr32.exe
Cuando se conecta a un servidor IRC a través de los puertos 6667 y
9900, el gusano puede recibir instrucciones remotas como estas:
1. Intentar copiarse a si mismo a todas las computadoras en red descargando y ejecutando el archivo
"psexec.exe". Este programa es una utilidad que inicia un servicio en una máquina remota utilizando el servidor Samba. Esto aumenta la actividad del
puerto 445.
Esta función intenta también adivinar el nombre de usuario y contraseña de la máquina remota. Crea el archivo
"woinggg.bat" en el directorio System. Este archivo BAT intentará conectarse a la computadora con diferentes nombres de usuario y passwords. Una vez completada su acción, el gusano intentará usar la utilidad
"psexec.exe" para copiar y ejecutar una copia del gusano con el nombre de
"woinggg.exe" en la computadora remota.
2. Leer directorios compartidos de las utilidades como Kazaa, Bearshare, y Grokster, y copiarse en ellos con un nombre construido de la siguiente manera:
Uno de estos nombres de archivos:
- Watch [nombre] sucking and fucking - XXX
- oh my, horny [nombre] - XXX
- [nombre] is very horny atm - XXX
- Instant access to [nombre]-picture download - XXX
- [nombre]'s webcam - cracked access - no cost - XXX
- [nombre]'s webcam - view livecast - XXX
- [nombre] in bed with some guy - XXX
- [nombre] giving VERY good blowjob XXX
- [nombre] getting it on with Usama Bin Laden - XXX
- [nombre] getting it on with George W. Bush - XXX
- Big Boobs Part II XXX - [nombre]
- Spreading Wide XXX - [nombre]
- Huge Tits XXX - [nombre]
- Big Tits XXX - [nombre]
- buttfuckin [nombre] - XXX
- cum all over [nombre] - XXX
- [nombre] lesbian love - XXX
- h4x [nombre]'s c0mput3r 4nd s3nd h3r 3m41l - mus7 d0wnl04d - 1337 h4x0r - XXX
- [nombre], very good pic (must download) - XXX
- [nombre] getting on with it! - XXX
- [nombre] sucking dick - XXX
- [nombre] spreading VERY wide!! - XXX
- Free [nombre] celeb pics xxx playboy fuck port huge boobs nude hardcore - XXX
- Pictures of [nombre] - hot pics! - XXX
- Sexy [nombre] nude pics xxx playboy porn pics
- Anal Sex - [nombre] - XXX
- [nombre] doing hardcore xxx
- [nombre] nude fucking hardcore xxx huge boobs
- Hardcore XXX - [nombre]
- Celebrity XXX - [nombre]
Seguido de una extensión .EXE, y donde [nombre] puede ser cualquiera de los siguientes:
- Kylie Minogue
- Shakira
- Christina Aguilera
- Britney Spears
- Michelle Behennah
- Kate Moss
- Helena Christensen
- Emma Sjoberg
- Stacey Keibler
- Karina Lombard
- Kylie Bax
- Cameron Diaz
- Lexa Doig
- Belinda Chapple
- Alessandra Ambrosia
- Kirsten Dunst
- Halle Berry
- Salma Hayek
- Charlize Theron
- Katie Price
- Pamela Anderson
- Donna D'Erico
- Ashley Judd
- Carmen Electra
- Jessica Alba
- Amanda Peet
- Sandra Bullock
- Gillian Anderson
- Anna Kournikova
- Samantha Mumba
- Chandra North
- Kelly Hu
- Jolene Blalock
También puede ser uno de estos archivos:
- [nombre] crack (all versions)
- [nombre] newest version crack
- [nombre] 3D Setup
- [nombre] - Cable Modem Playfix
- [nombre] - ADSL Playfix
- [nombre] - Unlock Everything Trainer
- [nombre] - Crack all versions
- [nombre] - Internet Play Fix
- [nombre] - NOCD Patch
- [nombre] - Tweaking utility
- [nombre] - Autotuning (for Newbies)
- [nombre] - CD Key Generator
- [nombre] - Newest Patch
- [nombre] - Character Cheat
- [nombre] - Map Hack
- [nombre] - Idem Duplicator
- [nombre] - Item Hack
- [nombre] - Multiplayer Cheat
- [nombre] - Unlimited Healt Trainer
- [nombre] - Game Trainer
También seguido de la extensión .EXE y donde [nombre] es uno de estos:
- Hoyle Card Games 2003
- Us Open 2002
- Hyper Rails
- HOYLE PUZZLE GAMES 2003
- Puzzles battles of the history
- Snow Drop
- Emperor Rise of the Middle Kingdom
- Reel Deal Slots Volume II
- AFL Live 2003
- Squad Battles Eagles Strike
- Earth 2150 Lost Souls
- Midnight Outlaw Street Racing
- Deep Fritz 7
- Virtual Resort Spring Break
- Divine Divinity
- Zelenhgorm The Great Ship
- Kango Shicyauzo
- Action Man Destruction X
- Blue's Clues Preschool
- Jurassic Park Dinosaur Battles
- Maximum G-Force Coasters
- Empire Earth Art of Qonquest
- Ultimate Pinball
- Frontline Attack War over Europe
- Bandits - Phoenix Rising
- Taz Wanted
- Pro Soccer Cup 2002
- Jeopardy! 2003
- Prisoner Of War
- Links 2003
- Total Club Manager 2003
- Sniper Path of Vengeance
- Links 2003 Championship Courses
- Law and Order Dead on the Money
- Ultimate Ride Disney Coaster
- Dogs Playing Poker
- The Sims Unleashed
- Stronghold Crusader
- Virtual Skipper 2
- Combat Mission 2
- Iron Storm Action
- Exodus Action
- X-Plane
- Project Nomads
- Bongo Boogie
- NHL 2003
- ParaShooter
- Emperor
- Virtual Sailor
- Battlefield 1942
- Kickoff 2002
- Brixout XP
- Star Wraith 3
- Madden NFL 2003
- BANDITS Phoenix Rising
- Pox Puzzle
- Starshatter v3
- Virtual Resort
- Conflict Desert Storm
- Delta Force Black Hawk Down
- Unreal Tournament 2003
- Scarlet Waves
- Halloween
- No One Lives Forever 2
- World War II
- Iron Storm
- The Gates
- Asswipe
- Fartknocker
- High Grow
- Ganja Farmer 2
- Duke Nukem Forever
- Jedi Knight 2
- RTCW
- Quake 3
- Quake 2
- Quake 1
- Shattered Galaxy
- Diablo 2
- Diablo
- Starcraft
- Warcraft
- Warcraft 2
- Warcraft 3
- NOLF2
- UT2003
3. Efectuar ataques de denegación de servicio (D.o.S) a servidores específicos.
4. Abrir y cerrar la bandeja del CD.
5. Generar el CD-Key para los siguientes juegos:
- Warcraft III
- Soldier of Fortune II - Double Helix
- Neverwinter
- UT2003
- Battlefield 1942
- Half-Life
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm
Deshabilitar las carpetas compartidas de KaZaa
Se recomienda deshabilitar las carpetas compartidas de este programa, hasta haber quitado el gusano del sistema, para prevenir su propagación.
Para ello, proceda así:
1. Ejecute KaZaa.
2. Seleccione en la barra del menú la opción: "Tools" > "Options".
3. Deshabilite las carpetas compartidas (Shared Kazaa folders) bajo la lengüeta "Traffic".
4. Pinche en "Aceptar", etc.
Deshabilitar las carpetas compartidas en BearShare
1. Ejecute BearShare.
2. Seleccione "Options" del menú "Setup".
3. Seleccione la lengüeta "Sharing"
4. Seleccione todo lo que estuviera en la ventana bajo el título "Share the files in these directories and their sub-directories:" y pinche en "Remove"
5. Pinche en "Aceptar", etc.
Deshabilitar las carpetas compartidas en Grokster
1. Ejecute Grokster.
2. Seleccione "Tools" > "Find Media to Share" > "Folder List".
3. Pinche en el botón "DeSelect All".
4. Pinche en "Aceptar", etc.
Reparación manual
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecútelos en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir cada una de las siguientes ramas:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
3. Pinche en las carpetas "RunServices", "RunOnce" y "Run", y en cada caso, en el panel de la derecha busque y borre la siguiente entrada:
Config Loader
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Actualización:
06/dic/02 - Alias: WORM_AGOBOT.A
06/dic/02 - Deshabilitación BearShare y Grokster
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|