W32/Gaobot.CC Se copia como "scvhost.exe"

VSantivirus No. 1239 Año 8, Viernes 28 de noviembre de 2003

W32/Gaobot.CC Se copia como "scvhost.exe"
http://www.vsantivirus.com/gaobot-cc.htm

Nombre: W32/Gaobot.CC
Tipo: Gusano de Internet y caballo de Troya
Alias: W32/Agobot-AV, Backdoor.Agobot.3.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen, W32/Agobot-BB, WORM_AGOBOT.BB
Fecha: 25/nov/03
Plataforma: Windows 32-bit
Puertos: TCP/135, TCP/445, TCP/1000 al 3000, TCP/10000, etc.

Es una variante menor de W32/Gaobot.AO. Gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de tres conocidas vulnerabilidades.

Las principales diferencias con variantes anteriores son las siguientes:

1. Su tamaño es de 68,608 bytes comprimido, 200,704 bytes sin comprimir.

2. Se copia con el siguiente nombre:

c:\windows\system\scvhost.exe

3. Las entradas que agrega en el registro son las siguientes:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Configuration Loader = c:\windows\system\scvhost.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Configuration Loader = c:\windows\system\scvhost.exe

IMPORTANTE: No confunda SCVHOST.EXE con SVCHOST.EXE, ya que es un archivo legítimo de Windows

Más información:

Tenga en cuenta las referencias anteriores a nombres de archivos y entradas en el registro, a la hora de aplicar la limpieza manual sugerida en la siguiente descripción:

W32/Gaobot.AO. Peligroso gusano y caballo de Troya
http://www.vsantivirus.com/gaobot-ao.htm

Actualizaciones:

04/dic/03 - Alias: W32/Agobot-BB
08/dic/03 - Alias: WORM_AGOBOT.BB

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com