• Lunes 18 de Noviembre de 2024, 16:33

Autor Tema:  Gaobot.ctx  (Leído 1300 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Gaobot.ctx
« en: Sábado 5 de Febrero de 2005, 14:28 »
0
Peligrosidad: 3 - Media     
Difusión:         Baja   Fecha de Alta:04-02-2005
Última Actualización:04-02-2005
Daño: Alto
[Explicación de los criterios]   
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Gaobot.CTX@MM    
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Alias:W32/Gaobot.CTX.worm (Panda Software)
Detalles

Efectos

Gaobot.CTX realiza las siguientes acciones:

* Obtiene información sobre el ordenador afectado: CPU, RAM, espacio en disco, sistema operativo, recursos compartidos, etc.
* Registra las pulsaciones de teclado.
* Roba las claves de registro pertenecientes a diversos juegos.
* Realiza ataques de tipo de denegación de servicio distribuida (DDoS).
* Descarga y ejecuta archivos.
* Obtiene imágenes a través de la cámara web del usuario, en caso de que haya alguna conectada.

Metodo de Infección

Gaobot.CTX crea el archivo WINHOST.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.

Gaobot.CTX crea las siguientes entradas en el Registro de Windows:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
win32 = winhost.exe

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
win32 = winhost.exe

Mediante estas entradas, Gaobot.CTX consigue ejecutarse cada vez que se inicie Windows.

Método de Propagación

Gaobot.CTX se propaga a través de Internet y de redes de ordenadores.

1.- Propagación a través de Internet.

Gaobot.CTX se propaga atacando máquinas con direcciones IP elegidas al azar, en las que trata de aprovechar las vulnerabilidades RPC DCOM, WebDAV, LSASS, UPNP y IIS5SSL.

Además, puede propagarse a ordenadores afectados por alguno de los siguientes malware: Bagle.A, Mydoom.A, Optix, NetDevil, Kuang y SubSeven.

Del mismo modo, también puede penetrar en ordenadores que estén ejecutando la aplicación DameWare Mini Remote Control, o que tengan instalado SQL Server y la cuenta de administrador se encuentre en blanco.

2.- Propagación a través de redes.

Gaobot.CTX realiza el siguiente proceso:

* Si el ordenador afectado forma parte de una red de área local, Gaobot.CTX intenta acceder a los recursos compartidos de red.
* Para ello, emplea nombres de usuario y contraseñas que son típicas o fáciles de adivinar.
* Si consigue acceder, Gaobot.CTX realiza copias de sí mismo en dichos recursos compartidos.

Otros Detalles

Gaobot.CTX ha sido escrito en el lenguaje de programación Visual C++. Este gusano tiene un tamaño de 124464 Bytes cuando se encuentra comprimido mediante PESpin.
El pasado son solo recuerdos, el futuro son solo sueños

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Re: Gaobot.ctx
« Respuesta #1 en: Sábado 5 de Febrero de 2005, 14:37 »
0
Ademas va a la mano con este pollito

Mas info en Bropia.E
El pasado son solo recuerdos, el futuro son solo sueños