Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Gaobot.CO. Se copia como "winupdate.exe"
 
VSantivirus No. 1250 Año 8, Martes 9 de diciembre de 2003

W32/Gaobot.CO. Se copia como "winupdate.exe"
http://www.vsantivirus.com/gaobot-co.htm

Nombre: W32/Gaobot.CO
Tipo: Gusano de Internet y caballo de Troya
Alias: WORM_AGOBOT.BL, W32.HLLW.Gaobot.BF, Backdoor.Agobot.3.an, W32/Gaobot.AA.worm, W32/Agobot-BP, Backdoor.Agobot.3.gen, W32/Gaobot.worm.gen.b, W32.HLLW.Gaobot
Fecha: 08/dic/03
Plataforma: Windows 32-bit
Puertos: TCP/135, TCP/445

Es una variante menor de W32/Gaobot.AO. Gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de tres conocidas vulnerabilidades.

Las principales diferencias con variantes anteriores son las siguientes:

1. El tamaño del ejecutable es de 64,512 bytes.

2. Se copia con el siguiente nombre:

c:\windows\system\winupdate.exe

3. Las entradas que agrega en el registro son las siguientes:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Update = winupdate.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Update = winupdate.exe

4. En Windows NT, 2000 y XP, el gusano crea un nuevo servicio llamado "Windows Update", para ejecutarse en forma automática:

HKLM\System\CurrentControlSet\Services\winupdate


NOTA IMPORTANTE:

El gusano puede remover las unidades compartidas por defecto en Windows NT, 2000 y XP (C$, D$, IPC$, y ADMIN$).

Por otra parte, el servicio en Windows NT, 2000 y XP, tampoco puede ser finalizado desde el Administrador de tareas, ya que es capaz de lanzar un nuevo proceso antes de ser descargado de memoria el primero. En caso de querer detenerlo desde el Administrador, se despliega un mensaje de error, pero el servicio seguirá funcionando.

También finaliza la ejecución de REGEDIT.EXE y COMMAND.COM (o CMD.EXE). Para eliminarlo, renombre el archivo del editor del registro (REGEDIT.EXE), por ejemplo REG.EXE. Ejecute REG.EXE y borre las entradas en el registro para que el gusano no se ejecute al inicio.

Reinicie en modo a prueba de fallas, y siga con las instrucciones que se dan en el siguiente enlace.


Más información:

Tenga en cuenta las referencias anteriores a nombres de archivos y entradas en el registro, a la hora de aplicar la limpieza manual sugerida en la siguiente descripción:

W32/Gaobot.AO. Peligroso gusano y caballo de Troya
http://www.vsantivirus.com/gaobot-ao.htm



Actualizaciones:

15/dic/03 - Alias: W32/Agobot-BP, Backdoor.Agobot.3.gen
15/dic/03 - Alias: W32/Gaobot.worm.gen.b, W32.HLLW.Gaobot




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS