|
VSantivirus No. 1209 Año 7, Miércoles 29 de octubre de 2003
W32/Gaobot.BM. Se copia como "winupdgm.exe"
http://www.vsantivirus.com/gaobot-bm.htm
Nombre: W32/Gaobot.BM
Tipo: Gusano de Internet y caballo de Troya
Alias: W32.HLLW.Gaobot.BM, W32/Gaobot.worm.gen
Fecha: 27/oct/03
Plataforma: Windows 32-bit
Tamaño: 214,528 bytes
Puertos: TCP/135, TCP/445, TCP/1000 al 3000, TCP/10000, etc.
Es una variante menor de W32/Gaobot.AO. Gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de tres conocidas vulnerabilidades.
Las principales diferencias con variantes anteriores son las siguientes:
1. Su tamaño es de 214,528 bytes, y está comprimida con ASPack y UPX
2. Se copia con el siguiente nombre:
c:\windows\system\winupdgm.exe
3. Las entradas que agrega en el registro son las siguientes:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Configuration Loader = c:\windows\system\winupdgm.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Configuration Loader = c:\windows\system\winupdgm.exe
4. Utiliza puertos calculados aleatoriamente, algunos en la gama entre 1000 y 3000, y uno superior al 10000.
Más información:
Tenga en cuenta las referencias anteriores a nombres de archivos y entradas en el registro, a la hora de aplicar la limpieza manual sugerida en la siguiente descripción:
W32/Gaobot.AO. Peligroso gusano y caballo de Troya
http://www.vsantivirus.com/gaobot-ao.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|