Gaobot.LTL
PeligrosidadDañoPropagación

Efectos 

Gaobot.LTL realiza las siguientes acciones:

• Se conecta a varios servidores IRC para recibir comandos de control remoto, actuando como un backdoor.
• Puede recibir cualquiera de las siguientes órdenes:
  - Obtener la dirección IP del ordenador afectado.
  - Buscar contraseñas pertenecientes al sistema.
  - Obtener las claves de los siguientes videojuegos: Counter-Strike, FIFA 2006 y Soldier of Fortune II-Double Helix.
  - Utilizar una herramienta para obtener las contraseñas de MSN Messenger.
  - Lanzar ataques de Denegación de Servicio (DoS) de tipo SYN Flood.
  - Iniciar un servidor proxy Socks4 y/o FTP.
  - Obtener información sobre el ordenador afectado, como memoria física disponible, memoria principal o frecuencia del microprocesador.
• Impide el acceso a los siguientes sitios web, que pertenecen a varias empresas de seguridad informática:
  avp.com
  ca.com
  customer.symantec.com
  dispatch.mcafee.com
  download.mcafee.com
  downloads-eu4.kaspersky-labs.com
  downloads-us1.kaspersky-labs.com
  downloads-us2.kaspersky-labs.com
  downloads-us3.kaspersky-labs.com
  downloads-us4.kaspersky-labs.com
  f-secure.com
  ftp.avp.com
  ftp.ca.com
  ftp.customer.symantec.com
  ftp.dispatch.mcafee.com
  ftp.download.mcafee.com
  ftp.downloads1.kaspersky-labs.com
  ftp.downloads2.kaspersky-labs.com
  ftp.downloads3.kaspersky-labs.com
  ftp.downloads4.kaspersky-labs.com
  ftp.downloads-eu1.kaspersky-labs.com
  ftp.downloads-eu2.kaspersky-labs.com
  ftp.downloads-eu3.kaspersky-labs.com
  ftp.downloads-eu4.kaspersky-labs.com
  ftp.downloads-us1.kaspersky-labs.com
  ftp.downloads-us2.kaspersky-labs.com
  ftp.downloads-us3.kaspersky-labs.com
  ftp.downloads-us4.kaspersky-labs.com
  ftp.f-secure.com
  ftp.grisoft.com
  ftp.kaspersky.com
  ftp.kaspersky-labs.com
  ftp.liveupdate.symantec.com
  ftp.liveupdate.symantecliveupdate.com
  ftp.mast.mcafee.com
  ftp.mcafee.com
  ftp.my-etrust.com
  ftp.nai.com
  ftp.networkassociates.com
  ftp.norton.com
  ftp.rads.mcafee.com
  ftp.sandbox.norman.com
  ftp.secure.nai.com
  ftp.securityresponse.symantec.com
  ftp.sophos.com
  ftp.symantec.com
  ftp.symantecliveupdate.com
  ftp.symatec.com
  ftp.trendmicro.com
  ftp.uk.trendmicro-europe.com
  ftp.update.symantec.com
  ftp.updates.symantec.com
  ftp.updates1.kaspersky-labs.com
  ftp.updates2.kaspersky-labs.com
  ftp.updates3.kaspersky-labs.com
  ftp.updates4.kaspersky-labs.com
  ftp.us.mcafee.com
  ftp.viruslist.com
  grisoft.com
  kaspersky.com
  kaspersky-labs.com
  liveupdate.symantec.com
  liveupdate.symantecliveupdate.com
  mast.mcafee.com
  mcafee.com
  my-etrust.com
  nai.com
  networkassociates.com
  norton.com
  pandasoftware.com
  rads.mcafee.com
  sandbox.norman.com
  secure.nai.com
  securityresponse.symantec.com
  sophos.com
  symantec.com
  symantecliveupdate.com
  symatec.com
  trendmicro.com
  uk.trendmicro-europe.com
  update.symantec.com
  updates.symantec.com
  updates1.kaspersky-labs.com
  updates2.kaspersky-labs.com
  updates3.kaspersky-labs.com
  updates4.kaspersky-labs.com
  virustotal.com
  www.avp.com
  www.ca.com
  www.customer.symantec.com
  www.dispatch.mcafee.com
  www.download.mcafee.com
  www.downloads1.kaspersky-labs.com
  www.downloads2.kaspersky-labs.com
  www.downloads3.kaspersky-labs.com
  www.downloads4.kaspersky-labs.com
  www.downloads-eu1.kaspersky-labs.com
  www.downloads-eu2.kaspersky-labs.com
  www.downloads-eu3.kaspersky-labs.com
  www.downloads-eu4.kaspersky-labs.com
  www.downloads-us1.kaspersky-labs.com
  www.downloads-us2.kaspersky-labs.com
  www.downloads-us3.kaspersky-labs.com
  www.downloads-us4.kaspersky-labs.com
  www.f-secure.com
  www.grisoft.com
  www.kaspersky.com
  www.kaspersky-labs.com
  www.liveupdate.symantec.com
  www.liveupdate.symantecliveupdate.com
  www.mast.mcafee.com
  www.mcafee.com
  www.my-etrust.com
  www.nai.com
  www.networkassociates.com
  www.norton.com
  www.pandasoftware.com
  www.rads.mcafee.com
  www.sandbox.norman.com
  www.secure.nai.com
  www.securityresponse.symantec.com
  www.sophos.com
  www.symantec.com
  www.symantecliveupdate.com
  www.symatec.com
  www.trendmicro.com
  www.uk.trendmicro-europe.com
  www.update.symantec.com
  www.updates.symantec.com
  www.updates1.kaspersky-labs.com
  www.updates2.kaspersky-labs.com
  www.updates3.kaspersky-labs.com
  www.updates4.kaspersky-labs.com
  www.us.mcafee.com
  www.viruslist.com
  De esta manera, entre otras consecuencias, los programas antivirus pertenecientes a dichas empresas no podrán actualizarse, dejando al ordenador vulnerable frente al ataque de otro malware.

Metodo de Infección 

Gaobot.LTL crea los siguientes archivos:

• TASKDRV32.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano, y aunque, una vez creado, Gaobot.LTL tiene instrucciones para eliminar el archivo original desde el que fue ejecutado, dicho archivo no es eliminado.
• COMMAND.PIF en el Escritorio.
• PERFLIB_PERFDATA_260.DAT en el directorio temporal del usuario afectado.

Método de Propagación 

Gaobot.LTL se propaga a través de Internet, redes de ordenadores, programas de intercambio de archivos punto a punto (P2P), programas de mensajería instantánea y correo electrónico.

1.- Propagación a través de Internet.

Gaobot.LTL realiza el siguiente proceso:

• Genera direcciones IP aleatorias.
• Intenta explotar las vulnerabilidades LSASS, RPC DCOM, WebDAV y UPnP en los ordenadores remotos.
• Si lo consigue, utiliza un script para transferir una copia de sí mismo al ordenador remoto que ha comprometido.

Del mismo modo, también puede penetrar en ordenadores que tengan instalada la aplicación DameWare Mini Remote Control, o que tengan instalado SQL Server y la cuenta de administrador se encuentre en blanco.

2.- Propagación a través de programas P2P.

• Crea copias de sí mismo en los directorios compartidos My Downloads, My shared Folder y Archivos de Programa\Lime Wire\Shared pertenecientes a varios programas P2P como Lime Wire con los siguientes nombres:
  2 FIND MP3 8.2.0.EXE
  2PAC - TUPAC FULL ALBUM BATTLE BEFORE HIS DEAD.EXE
  ADOBE INDESIGN CS 2.EXE
  ADOBE KEYGEN FOR PHOTOSHOP INDESIGN INCOPY SERIAL CRACK.EXE
  ADOBE PHOTOSHOP CS 2.EXE
  AUTOCAD 2002 CRACK.EXE
  AUTOCAD 2004 CRACK.EXE
  AUTOCAD 2005 CRACK.EXE
  AUTOCAD 2006 CRACK.EXE
  BEST HACK TOOL FOR REAL HACKERS KEYLOGGER WEBCAM SPY! - PRIVATE.EXE
  COUNTER STRIKE - CS FULL VERSION.EXE
  COUNTER STRIKE KEYGEN WORKING FOR ONLINE STEAM.EXE
  CREDIT CARD GENERATOR.EXE
  FIFA 2006 FULL WITH CRACK.EXE
  FIFA 2007 FULL WITH CRACK.EXE
  FLASH 8.EXE
  FREE SMS BOMBER.EXE
  GOOGLE HACK TUTORIAL FOR BEGINNERS.EXE
  HALFLIFE 2 WORKING STEAM CRACK.EXE
  HOTMAIL ACCOUNT HACKER IN 30 MINUTES.EXE
  HOTMAIL HACKER.EXE
  HOTMAIL_ACCOUNT_SNIFFER.EXE
  HOTMAILHACKER V1.0.EXE
  IP CHANGER.EXE
  MICROSOFT OFFICE ACTIVATION CRACK.EXE
  MICROSOFT OFFICE PROFESSIONAL CRACK.EXE
  MICROSOFT OFFICE PROFESSIONAL SERIAL.EXE
  MICROSOFT OFFICE PROFESSIONAL UNIVERSAL CRACK WITHOUT SERIAL.EXE
  MICROSOFT OFFICE UNIVERSAL ACTIVATOR V1.0.EXE
  MSN HACKER - PASSWORD STEALER.EXE
  NORTON ANTI VIRUS FULL NEWEST VERSION.EXE
  NORTON ANTIVIRUS 2005 CRACK.EXE
  NORTON ANTIVIRUS 2006 CRACK.EXE
  NORTON ANTIVIRUS CRACK.EXE
  NORTON FIREWALL 2006 CRACK.EXE
  PORN.EXE
  PORN_ACCOUNT_CRACKER.EXE
  PORN_ACCOUNT_HACKER.EXE
  PSX2 - PLAYSTATION 2 EMULATOR.EXE
  TOON BOOM.EXE
  UNIVERSAL GSM UNLOCKER FOR REMOVING SIMLOC (NOKIA,ERICSSON,SONY,SAMSUNG,OTHERS).EXE
  WINRAR 4 BETA.EXE
  YAHOO_CRACKER.EXE
  YAHOO_HACKER.EXE
  YAHOO_MAIL_CRACKER.EXE
  ZONEALARM CRACK (KEYGEN).EXE
• Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Gaobot.LTL, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
• Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Gaobot.LTL.

3.- Propagación mediante redes de ordenadores.

• Si el ordenador afectado forma parte de una red, Gaobot.LTL intenta acceder a los recursos compartidos de red.
• Para ello, emplea nombres de usuario y contraseñas que son típicas o fáciles de adivinar.
• Si consigue acceder, Gaobot.LTL realiza copias de sí mismo en dichos recursos compartidos.

4.- Propagación a través de programas de mensajería instantánea y chat.

Gaobot.LTL se propaga a través de AOL Instant Messenger (AIM) y del chat IRC. Realiza el siguiente proceso:

• El usuario recibe un mensaje instantáneo con un enlace.
• Si éste se pulsa, Gaobot.LTL es descargado al ordenador afectado.
• Gaobot.LTL envía un mensaje instantáneo a todas las direcciones que encuentre en la Lista de Contactos de AOL Instant Messenger.

5.- Propagación por correo electrónico.

• Gaobot.LTL llega al ordenador en un mensaje de correo electrónico que contiene un archivo adjunto.
• El ordenador queda afectado cuando el usuario ejecuta el archivo adjunto.
• Gaobot.LTL busca direcciones de correo electrónico en varios archivos del ordenador.
• Después, envía una copia de sí mismo a las direcciones que ha recogido.

Otros Detalles  

Gaobot.LTL está escrito en el lenguaje de programación Visual C++ v6. Este gusano tiene un tamaño de 53904 Bytes, y está comprimido mediante PE_Patch.