|
VSantivirus No. 1250 Año 8, Martes 9 de diciembre de 2003
W32/Gaobot.CO. Se copia como "winupdate.exe"
http://www.vsantivirus.com/gaobot-co.htm
Nombre: W32/Gaobot.CO
Tipo: Gusano de Internet y caballo de Troya
Alias: WORM_AGOBOT.BL, W32.HLLW.Gaobot.BF, Backdoor.Agobot.3.an, W32/Gaobot.AA.worm, W32/Agobot-BP, Backdoor.Agobot.3.gen, W32/Gaobot.worm.gen.b, W32.HLLW.Gaobot
Fecha: 08/dic/03
Plataforma: Windows 32-bit
Puertos: TCP/135, TCP/445
Es una variante menor de W32/Gaobot.AO. Gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de tres conocidas vulnerabilidades.
Las principales diferencias con variantes anteriores son las siguientes:
1. El tamaño del ejecutable es de 64,512 bytes.
2. Se copia con el siguiente nombre:
c:\windows\system\winupdate.exe
3. Las entradas que agrega en el registro son las siguientes:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Update = winupdate.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Update = winupdate.exe
4. En Windows NT, 2000 y XP, el gusano crea un nuevo servicio llamado "Windows Update", para ejecutarse en forma automática:
HKLM\System\CurrentControlSet\Services\winupdate
NOTA IMPORTANTE:
El gusano puede remover las unidades compartidas por defecto en Windows NT, 2000 y XP (C$, D$, IPC$, y ADMIN$).
Por otra parte, el servicio en Windows NT, 2000 y XP, tampoco puede ser finalizado desde el Administrador de tareas, ya que es capaz de lanzar un nuevo proceso antes de ser descargado de memoria el primero. En caso de querer detenerlo desde el Administrador, se despliega un mensaje de error, pero el servicio seguirá funcionando.
También finaliza la ejecución de REGEDIT.EXE y COMMAND.COM (o CMD.EXE). Para eliminarlo, renombre el archivo del editor del registro (REGEDIT.EXE), por ejemplo REG.EXE. Ejecute REG.EXE y borre las entradas en el registro para que el gusano no se ejecute al inicio.
Reinicie en modo a prueba de fallas, y siga con las instrucciones que se dan en el siguiente enlace.
Más información:
Tenga en cuenta las referencias anteriores a nombres de archivos y entradas en el registro, a la hora de aplicar la limpieza manual sugerida en la siguiente descripción:
W32/Gaobot.AO. Peligroso gusano y caballo de Troya
http://www.vsantivirus.com/gaobot-ao.htm
Actualizaciones:
15/dic/03 - Alias: W32/Agobot-BP, Backdoor.Agobot.3.gen
15/dic/03 - Alias: W32/Gaobot.worm.gen.b, W32.HLLW.Gaobot
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|